我知道的DOM型攻击就是类似于输入框通过innerhtml的漏洞添加脚本文件之类的方式进行。
但是看到网上很多地方说DOM型攻击步骤为:
- 攻击者构造出特殊的 URL,其中包含恶意代码。
- 用户打开带有恶意代码的 URL。
- 用户浏览器接收到响应后解析执行,前端 JavaScript 取出 URL 中的恶意代码并执行。
- 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
请问我打开url的时候,不就已经向服务器发送请求了吗, 不就是反射型攻击了吗?
还有就是我输入框结合innerhtml的方式也跟url没有关系,网上都是拿这个例子,但这都是自己搞自己,感觉跟别人的攻击没什么关系。
请教一下大家的理解。
