XSS原理：

根本我個人理解XSS又叫CSS(Cross-SiteScripting跨站指令碼攻擊)為了不和css層疊樣式表混淆，所以改成了XSS。XSS是將惡意的程式碼插入到html頁面中，當用戶瀏覽頁面時，插入的html程式碼會被執行，從而達到最終目的。

XSS分為三種：

反射型：這種反射型一般存在連結中，請求連結時，程式碼經過伺服器端就會反射回來。

儲存型：一般在留言板、搜尋框裡會遇到，直接插入到留言板中當用戶每次訪問時都會反射這種稱為儲存型。

DOM型：是一種發生在客戶端文件物件模型中的跨站漏洞。

XSS和csrf的區別：XSS發生在客戶端,CSRF發生在服務端。

以上三種漏洞會造成：身份盜用，釣魚欺騙、垃圾資訊傳送等；

XSS：修復方式和SQL注入修復方式相同，建議檢視歷史文章。

CSRF：根據我的理解，CSRF是跨站請求偽造(Cross-siterequestforgery)大家可能認為和XSS漏洞相似容易混淆，其實和XSS區別還是很大的，與XSS攻擊相比，CSRF攻擊不流行（所以防範的資源也稀少）和難以防範，所以被稱為比XSS更具危險性。同樣這也是XSS和CSRF區別之一。

以下是我總結的常見區別：

(1)CSRF比XSS漏洞危害更高。

(2)CSRF可以做到的事情，XSS都可以做到。

(3)XSS有侷限性，而CSRF沒有侷限性。

(4)XSS針對客戶端，而CSRF針對服務端。

(5)XSS是利用合法使用者獲取其資訊，而CSRF是偽造成合法使用者發起請求。

本文由小龍1028原創作品，歡迎轉載

cffsec團隊不僅是學習的源泉，更是大家技術分享的平臺，同樣也是你們的另一個學習家園，希望大家多多關注，也可以提出自己寶貴的意見。

 掃描二維碼關注公眾號@cffsec安全團隊