📌 在你的留言板或表單偷偷放了惡意程式碼
當其他人瀏覽網頁時,這段程式碼會在他們的瀏覽器執行
攻擊者可能偷 cookie、竄改網頁、發送假訊息
<script>
。<
、>
、"
、'
📌使用者的輸入直接被網站回傳時,沒有存到資料庫
使用者點擊網址
http://test.com/search?q=<script>alert('123')</script>
網站立即回傳輸入並執行 alert
攻擊者可以透過 URL 釣魚或騙使用者點擊
📌將惡意程式碼存到網站資料庫,所有瀏覽該內容的人都會被觸發
攻擊者在留言板中輸入
<script>alert('123')</script>
其他使用者打開該留言或文章時
瀏覽器就會自動執行 alert 或更複雜的 JS
📌發生在瀏覽器端,利用前端 JavaScript 操作 DOM 或讀取 URL/hash
document.write(location.hash)
使用者訪問
http://test.com/page#<script>alert('123')</script>
瀏覽器會把 hash 內容當作程式碼執行
攻擊者能控制頁面內容
攻擊者
可以利用反射型、儲存型或 DOM 型 XSS
防禦方
📌 我反射你的反射!!