2.1 知識要點與實驗目標

2.1.1 XSS攻擊定義及產生原理

跨站腳本攻擊（Cross Site Scripting，XSS），是發生在目標用戶的瀏覽器層上的，當渲染DOM樹的過程生成了不在預期內執行的JS（JavaScript）代碼時，就發生了XSS攻擊。

大多數XSS攻擊的主要方式是嵌入一段遠程或者第三方域上的JS代碼。實際上是在目標網站的作用域下執行了這段JS代碼。

XSS跨站腳本攻擊的重點不在“跨站”上，而在于“腳本”上。

XSS攻擊產生原理：

攻擊者往Web頁面里插入惡意JavaScript代碼，當用戶瀏覽該頁時，嵌入Web里面的JavaScript代碼會被執行，從而達到惡意攻擊用戶的目的。

造成XSS代碼執行的根本原因在于數據渲染到頁面過程中，HTML解析觸發執行了XSS腳本。