這是什么類型的 XSS 以及如何防止它
[英]What type XSS this is and how to prevent it
問題描述
這是我作為 index.html 保存到計算機桌面的 example.com 的代碼:
<channel> <title>Comments on: Voor uw organisatie</title> <atom:link href="https://example.com/feed/" rel="self" type="application/rss+xml" /> <link>https://example.com</link> <description>PIM: Wie weet wat van mij?</description> <lastBuildDate>Mon, 17 Sep 2018 13:22:52 +0000</lastBuildDate> <sy:updatePeriod>hourly</sy:updatePeriod> <sy:updateFrequency>1</sy:updateFrequency> <generator>https://wordpress.org/?v=4.9.3</generator> </channel>
我在文本編輯器中打開該文件並更改
<generator>https://wordpress.org/?v=4.9.3</generator>
到
<generator>"><img src="x" onerror="alert(document.cookie)"></generator>
當我在 Firefox 中打開修改后的 HTML 文件時,我收到一個帶有 cookie 的警告框。 我知道這是 XSS,因為我在瀏覽器中收到了 XSS 警報。
我的問題是為什么會發生這種情況? 因為我沒有在參數中注入這段代碼。 那么開發人員如何解決這個問題或清理這段代碼呢?
這有什么影響嗎?
2 個解決方案
解決方案1
1
給定一個由 Alice 運行並由 Bob 訪問的網站,當 Mallory(攻擊者)使 JavaScript 在 Bob 的網站上的 Alice 瀏覽器中運行時,就會發生 XSS 攻擊。
Alice 在她的計算機上編輯 HTML 文檔(甚至是從另一個網站復制的),使其運行 JavaScript,然后在她的瀏覽器中加載該 HTML 文檔不會執行 XSS 攻擊。 她只是在她完全控制的系統上運行 JavaScript。
解決方案2
0 2018-09-17 20:45:14
這不是 XSS,這是損壞的 HTML。 警報是誤報。
帶有Flashvars的XSS有什么可能? 怎么預防呢?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.