当XSS遇上CSP与mXSS:绕过技巧与底层逻辑
# 当XSS遇上CSP与mXSS:绕过技巧与底层逻辑
## 1. XSS基础回顾
### 1.1 XSS类型
- **反射型XSS**:恶意脚本通过URL参数注入,服务器反射回页面执行
- **存储型XSS**:恶意脚本存储在服务器端,每次访问页面时执行
- **DOM型XSS**:完全在客户端发生的XSS,不涉及服务器端处理
### 1.2 XSS常见注入点
- HTML标签内容:`USER_INPUT`
- HTML标签属性:``
- JavaScript代码:`var a = "US
2025-09-09 12:15:27
0