XSS:跨站脚本攻击,Cross-Site Scripting,为了和前端的css避免重名,简称为XSS,是指通过技术手段,向正常用户请求的HTML页面中插入恶意脚本,执行。
基础知识吸收型
Bug:web端:账号登录以后,在短信息页面,选择任意一个好友进行聊天,在聊天输入框,输入“<script>alert("hello")</script>”,确定后,会弹框提示,并发出内容显示test!!!
期望:显示alert ("hello")
产生原因:
开发没有对js进行过滤,造成的;
经典原因:
测试场景:
预防: