大学课程《电力行业信息安全与攻防技术》教学PPT课件：[6.1]XSS原理.pptxVIP

XSS原理

任务导入任务目标任务讲解任务总结

跨站脚本攻击（XSS）

XSS攻击原理与危害在电力行业数字化转型中，智能电表、用户服务系统都依赖Web技术。不仅关乎技术防护，更关系国家关键基础设施的安全稳定运行。一旦存在XSS漏洞，可能导致用户数据泄露甚至电网控制指令被篡改。

任务导入任务目标任务讲解任务总结

任务目标知识目标能力目标素养目标理解XSS攻击的本质和实现机制掌握XSS漏洞产生的关键环节，包括用户输入处理缺陷树立技术为民、安全护国的价值导向，为守护数字电网筑牢第一道防线

任务导入任务目标任务讲解任务总结

XSS攻击本质攻击者注入恶意脚本至目标网站，使脚本在用户浏览器中执行；窃取如Cookie、SessionID等敏感信息。跨站脚本攻（XSS）本质上是一种代码注入攻击。

XSS名称的由来XSS最初应称为CSS（Cross-SiteScripting），但为与层叠样式表（CascadingStyleSheets，CSS）区分，将首字母改为X，故得名XSS。

XSS攻击的本质恶意代码没有经过过滤，它和网站的正常代码混在一起了。这些恶意脚本直接在用户终端运行，能直接获取用户信息，甚至冒充用户去发起攻击。浏览器分辨不出哪些脚本是可信的，结果就把恶意脚本给执行了。

Web程序接受用户数据，如表单、URL、Cookie，未充分验证或过滤，埋下隐患。攻击者嵌入恶意脚本，多为Ja