2.1 知識要點與實驗目標

2.1.1 XSS攻擊定義及產(chǎn)生原理

跨站腳本攻擊（Cross Site Scripting，XSS），是發(fā)生在目標用戶的瀏覽器層上的，當渲染DOM樹的過程生成了不在預期內(nèi)執(zhí)行的JS（JavaScript）代碼時，就發(fā)生了XSS攻擊。

大多數(shù)XSS攻擊的主要方式是嵌入一段遠程或者第三方域上的JS代碼。實際上是在目標網(wǎng)站的作用域下執(zhí)行了這段JS代碼。

XSS跨站腳本攻擊的重點不在“跨站”上，而在于“腳本”上。

XSS攻擊產(chǎn)生原理：

攻擊者往Web頁面里插入惡意JavaScript代碼，當用戶瀏覽該頁時，嵌入Web里面的JavaScript代碼會被執(zhí)行，從而達到惡意攻擊用戶的目的。

造成XSS代碼執(zhí)行的根本原因在于數(shù)據(jù)渲染到頁面過程中，HTML解析觸發(fā)執(zhí)行了XSS腳本。