反射型XSS、存储型XSS及DOM型XSS到底有什么区别？？？？？「建议收藏」

大家好，又见面了，我是你们的朋友全栈君。

要想知道一种东西的区别，那么就得知道其的概念，这个链接是对三种XSS概念的解析：链接在此

假设读者已经明白了XSS的概念以及三个类型XSS的原理了，那么我们就来对比下他们之间的不同！

一、被攻击对象的不同

反射型XSS的被攻击对象一般是攻击者去寻找的，就比如说：一个攻击者想盗取A的QQ号，那么攻击者就可以将一个含有反射型XSS的URL链接给A，此时我们可以看出，需要将特定的URL，注意是特定的URL给A，当A点击进入链接时，就受到XSS攻击，所以这种攻击范围不是特别的广。

而存储型XSS是广撒网的方式或者指定的方式，就是攻击者将存储型XSS放在一些有XSS漏洞的网站上，只要有用户访问这个链接就会中招，而攻击者也可以寻找被攻击对象，比如说上面的例子，所以我们可以看出，存储型XSS的危害性更大，范围更广，可以不需要寻找被攻击对象，只要存储型XSS在服务器上就能实施攻击。

DOM型XSS的被攻击对象其实和反射型XSS被攻击对象差不多，就是给攻击对象放送URL。

二、解析位置不同（个人感觉是反射型与存储型区别的本质）

反射型XSS的脚本被解析的地方是浏览器，而存储型XSS的脚本被解析的地方是服务器，DOM型XSS也是浏览器，所以DOM型又叫DOM反射型XSS。但是反射型XSS需要联网，而DOM型不需要！

三、存储时间不同

反射型XSS是既有即用，没有持久性，而存储型XSS是存储在服务器上，只要服务器不挂机或者是被干掉，就一直会有，DOM型XSS和反射型差不多，但是用人就扯淡了，那反射型只要不改变源代码不就是一直存在吗？不是的，反射型XSS是必须得特定的URL才能使得被攻击对象中招，如果是单单官方网页，就没有了咯，存储型就不同，只要服务器里面有存储型XSS，不论是不是官网，被攻击对象都会被攻击。

四、允许输入点的不同（这是DOM型与其他两种的区别）

一般情况下，反射型XSS在搜索框啊，或者是页面跳转啊这些地方，而存储型XSS一般是留言，或者用户存储的地方，而DOM呢？是在DOM位置上，不取决于输入环境上。

以上只是个人观点，如果有什么不妥可以联系我！我会及时改正！

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/135116.html原文链接：https://javaforall.cn