PHP 漏洞全解(四)-xss 跨站脚本攻
击

本文主要介绍针对 PHP 网站的 xss 跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码，当访问
者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，
控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的 HTTP 请求，如诈
骗性的电汇请求、修改口令和下载非法的内容等请求。

XSS(Cross Site Scripting)，意为跨网站脚本攻击，为了和样式表 css(Cascading Style Sheet)区别，
缩写为 XSS

跨站脚本主要被攻击者利用来读取网站用户的 cookies 或者其他个人数据，一旦攻击者得到这些数据，
那么他就可以伪装成此用户来登录网站，获得此用户的权限。

跨站脚本攻击的一般步骤:

1、攻击者以某种方式发送 xss 的 http 链接给目标用户

2、目标用户登录此网站，在登陆期间打开了攻击者发送的 xss 链接

3、网站执行了此 xss 攻击脚本

4、目标用户页面跳转到攻击者的网站，攻击者取得了目标用户的信息

5、攻击者使用目标用户的信息登录网站，完成攻击