From 5e7d000e06b0d396942531777e06c05d7b7fca2e Mon Sep 17 00:00:00 2001
From: jinphic <78671853+jinphic@users.noreply.github.com>
Date: Wed, 3 Jan 2024 15:03:07 +0000
Subject: [PATCH] feat: safe

---
 "interview/\345\256\211\345\205\250.md" | 7 ++++++-
 1 file changed, 6 insertions(+), 1 deletion(-)

diff --git "a/interview/\345\256\211\345\205\250.md" "b/interview/\345\256\211\345\205\250.md"
index dbab747..8c1aa42 100644
--- "a/interview/\345\256\211\345\205\250.md"
+++ "b/interview/\345\256\211\345\205\250.md"
@@ -46,4 +46,9 @@
          双重Cookie采用以下流程：
             在用户访问网站页面时，向请求域名注入一个Cookie，内容为随机字符串（例如csrfcookie=v8g9e4ksfhw）。
             在前端向后端发起请求时，取出Cookie，并添加到URL的参数中（接上例POST https://www.a.com/comment?csrfcookie=v8g9e4ksfhw）。
-            后端接口验证Cookie中的字段与URL参数中的字段是否一致，不一致则拒绝。
\ No newline at end of file
+            后端接口验证Cookie中的字段与URL参数中的字段是否一致，不一致则拒绝。
+
+4. XSS攻击
+   4.1 DOM 型 XSS 攻击利用了前端 Javascript 在浏览器中动态操作 DOM 的特性。DOM 型 XSS 攻击的原理是攻击者通过注入恶意代码或者脚本到网页中的 DOM 元素中，然后通过浏览器执行这些恶意的代码。
+   4.2 反射型 XSS 攻击，指攻击者通过构造恶意的 URL，利用用户的输入参数将恶意的代码注入到目标站点的响应内容中，然后将注入的恶意代码发送给浏览器执行，从而实现攻击。简而言之：就是把用户输入的数据从服务端反射给用户浏览器。
+   4.3 存储型攻击，指攻击者利用它在目标站点上储存的恶意脚本，当用户访问该页面时，恶意脚本被执行。该类攻击在评论区常见。
\ No newline at end of file