顾名思义,Persistent XSS和Non-Persistent XSS之间的区别如下。
持久XSS
存储在Cookie或服务器数据库中的XSS。
聊天应用程序中的持久XSS示例
如果聊天应用程序将所有用户消息存储到数据库中,并且用户可以发送HTML字符串,例如,<script>alert('XSS');</script>那么该代码将在每次用户访问cha应用程序时执行。
非永久性XSS
在客户端执行的XSS(例如,在URL中执行的JavaScript或用户被欺骗)将JavaScript粘贴到其控制台中。
非持久XSS的示例
您可以javascript:alert('XSS')在浏览器中执行,尽管大多数现代浏览器不允许您将其复制/粘贴到URL中。
您可以在此处了解更多信息。
(来源)
\n\n\n存储攻击是指将注入的脚本永久存储在目标服务器上,例如数据库、消息论坛、访问者日志、评论字段等。受害者随后从服务器检索恶意脚本。请求存储的\n信息。存储的 XSS 有时也称为持久性或\nI 型 XSS。
\n
例子:
\nhttp://victim.host/notfound?<img src=0 onerror=Alert(1)>。该 get 存储在服务器上的日志文件中,如果日志文件 get 通过浏览器解释为 HTML,则有效负载 get 会被执行。\n\n反射攻击是指注入的脚本被反射到 Web 服务器上,例如错误消息、搜索结果或任何其他响应,其中包含作为请求的一部分发送到服务器的部分或全部输入。反射攻击通过其他途径传递给受害者,例如通过电子邮件或某些其他网站。当用户被诱骗点击恶意链接、提交特制表单,甚至只是浏览恶意网站时,注入的代码将传播到易受攻击的网站,从而将攻击反映给用户\xe2 \x80\x99s 浏览器。然后浏览器执行代码,因为它来自“受信任”的服务器。反射型 XSS 有时也称为非持久性 XSS 或类型 II XSS。
\n
例子:
\nhttp://victim.host/?a=<payload>该有效负载,并直接在网站上输出并执行。您主要可以在搜索和错误页面中找到此行为。注意:在当前的浏览器中,如果在 URL 中看到 JavaScript 字符串并反映在网站上,则会被阻止。这取决于整个页面被阻止还是仅一个脚本被阻止。
\n