文章不易,请关注公众号 毛毛虫的小小蜡笔,多多支持,谢谢。
概述
Cross-site scripting,简称XSS,跨站脚本攻击。
XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在浏览网页的时候,就会受到影响。
反射型XSS - Reflected XSS
用户在页面的输入,经过http请求发送到服务端,服务端处理后,把用户输入原封不到返回到浏览器,浏览器也没做处理直接把用户输入显示到页面种。
示例:
代码
// 服务端(koa2)
router.get('/search', async (ctx, next) => {
let req = ctx.request
ctx.state = {
title: 'xss',
word: req.query.word
}
ctx.body = req.query.word ? req.query.word : ''
})
详情 请查看:毛毛虫的小小蜡笔
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。