Reflected XSS

Persistent XSS

DOM-based XSS

Non-Persistent XSS

Khi người dùng không đăng nhập vào hệ thống

Khi người dùng đã xác thực truy cập vào trang web mục tiêu

Khi server nhận được request từ attacker

Khi trang web không có bảo mật HTTPS

Khi trang web chỉ sử dụng phương thức POST

Khi trang web không sử dụng giao thức HTTPS

Khi trang web không kiểm tra và làm sạch đầu vào người dùng

Khi người dùng sử dụng trình duyệt cũ

Thay đổi dữ liệu trên server

Chèn script độc vào dữ liệu người dùng

Chuyển hướng trình duyệt đến trang web khác

Thay đổi cấu trúc DOM trên trình duyệt của nạn nhân

Sử dụng mật khẩu mạnh

Chặn các yêu cầu từ bên thứ ba

Sử dụng giao thức HTTPS để mã hóa truyền tải

Tránh sử dụng các hàm JavaScript như "innerHTML" hoặc "document.write"

Cross-Site Reflected Attack

Cross-Site Request Forgery

Cross-Site Scripting

Client-Side Scripting

Script độc được phản hồi ngay khi người dùng truy cập URL

Script độc được lưu trong cơ sở dữ liệu

Script độc chỉ thực thi trên trình duyệt di động

Script độc được chèn vào mã HTML của trang web