XSS (cross site scripting)
为了区分CSS,所以简写是XSS
但是,它的名字为什么叫cross site scripting呢
明明是在同一个网站里面,比如说一个网站的留言板,没有经过转义,
可能会把script标签插入到HTMLDOM中,可以触发脚本,进而脚本可以拿到用户的cookies信息
明明在一个网站里,为什么cross site了呢
答案:
The site in cross-site scripting relates to a site (host, machine, client-side, server-side, location, environment and such) not to website. This may cause the confusion. In addition, the X (cross) was chosen instead of the C to distinguish between the styling language and this type of attack.
cross site不是 cross website,并不是跨网站的意思,不是说从网站A跨到了网站B
只是跨site, 攻击者跨越了(自身的)位置 ,进行脚本注入攻击。 cross site script 跨越了位置玩脚本