第一種:反射型XSS攻擊
反射型XSS攻擊一般是攻擊者通過特定手法,誘使用戶去訪問一個包含惡意代碼的URL,當受害者點擊這些專門設計的鏈接的時候,惡意代碼會直接在受害者主機上的瀏覽器執行。此類XSS攻擊通常出現在網站的搜索欄、用戶登錄口等地方,常用來竊取客戶端Cookies或進行釣魚欺騙
第二種:DOM-based型XSS攻擊
客戶端的腳本程序可以動態地檢查和修改頁面內容,而不依賴於服務器端的數據。例如客戶端如從URL中提取數據並在本地執行,如果用戶在客戶端輸入的數據包含了惡意的JavaScript腳本,而這些腳本沒有經過適當的過濾或者消毒,那么應用程序就可能受到DOM-based型XSS攻擊。
需要特別注意以下的用戶輸入源document.URL、location.hash、location.search、document.referrer等。
第三種:存儲型XSS攻擊
攻擊者事先將惡意代碼上傳或者儲存到漏洞服務器中,只要受害者瀏覽包含此惡意代碼的頁面就會執行惡意代碼。這意味着只要訪問了這個頁面的訪客,都有可能會執行這段惡意腳本,因此存儲型XSS攻擊的危害會更大。此類攻擊一般出現在網站留言、評論、博客日志等交互處,惡意腳本存儲到客戶端或者服務端的數據庫中