1.1.2 HTML注入攻击

HTML注入，实际上是一个网站允许恶意用户，经过不正确处理用户输入而将HTML注入其网页的攻击。换句话说，HTML注入漏洞是由接收HTML引起的，通常是通过某种表单输入，然后在网页上呈现用户输入的内容。由于HTML是用于定义网页结构的语言，如果攻击者可以注入HTML，它们实质上可以改变浏览器呈现的内容和网页的外观。这可能会导致完全改变页面的外观，或者在其他情况下，创建HTML表单以欺骗用户，希望用户使用表单提交敏感信息（这称为网络钓鱼）。

HTML注入攻击利用HTML的语言特点，在网站文本框中，输入类似于HTML语法中预定义的＜tr＞、＜td＞、＜input＞、＜/td＞、＜/tr＞等内容。如果系统没有做防护，而是将这些数据直接显示到页面，就会产生HTML攻击。

HTML注入攻击利用网页编程HTML语法，会破坏网页的展示，甚至导致页面的源码展示在页面上，破坏正常网页结构，或者内嵌钓鱼登录框在正常的网站中，对网站攻击比较严重。