- 主题:跨站攻击(XSS) 算Web安全问题吗?
跨站攻击的事件里至少有三个角色:黑客/黑客程序,普通用户,我们写的网站服务器。
“黑客程序”劫持“普通用户”的浏览器,在浏览器(URL、Form等)里输入一些非法数
据,访问“我们写的网站服务器”,从而非法获取“普通用户”的数据、破坏“普通用
户”正常的访问行为。
注意这里破坏的是“普通用户”,而不是我们 Web Server 提供者。
黑客程序已经在肉机上潜伏了,也就是这个用户本来就已经中毒了!
那么黑客在“普通用户”机器上干什么事都有可能了,跟我们Web Server提供者有什么关
系?
我们提供的HTML/JS再安全,能挡住小白机器上被黑客按F12、然后在console窗口执行任
意的js脚本吗?
--
FROM 210.14.75.*
确实不懂……不太理解。
我看网上描述跨站攻击,是说用户会把类似于<script>...</script>的脚本,输入到form
input或AJAX请求里面,或者在 www.myServer.com 后面加上非法的query string。
如果不是肉鸡,只是普通用户自己操作,怎么会把这些恶意的字符串放在input/AJAX请求
或者query string里面呢?
【 在 vonNeumann (劣币驱逐良币 | 少灌水) 的大作中提到: 】
: XSS 跟肉鸡有什么关系?
: XSS 的受害者不是“已经被劫持的用户”,是任何使用浏览器正常打开的你的网页的用
户
: 一个网站能被 XSS,比能被 CSRF 更不可饶恕。
--
FROM 106.120.93.*