XSS:术语

Question

XSS的名字来自哪里？为什么是“跨网站”？此外，“网络应用程序黑客手册”(‘says )一书指出，在谈论“存储XSS”或二级XSS攻击时，XSS这个名称是一个错误的名称。为什么？

Answer 1

关于为什么它有跨站点的名字，耶利米·格罗斯曼有一篇好文章在那上面。下面的狙击手：

很快就发现，恶意网站可以将另一个网站加载到相邻的框架或窗口中，然后使用JavaScript对其进行读取。一个网站可以跨越边界和脚本进入另一个页面。从表单中提取数据，重写页面等，因此就有了跨站点脚本(CSS)的名称.注意"CSS“的用法。Netscape以“相同来源的政策”作为反击，旨在防止这种行为。浏览器黑客们将此视为一项挑战，并开始寻找规避安全的数百种方法。

与我们今天描述的XSS不同，但这似乎是它的起源。

我想WAHH指出存储的XSS是个用词不当的地方，因为反射的XSS攻击可能来自恶意站点，从而使“跨站点脚本”的名称更加准确。我认为基于DOM的XSS与存储的XSS属于同一类别。

没有确切地看到他们对XSS的看法，很难说出他们为什么这么说。