- 主题:跨站攻击(XSS) 算Web安全问题吗?
XSS 跟肉鸡有什么关系?
XSS 的受害者不是“已经被劫持的用户”,是任何使用浏览器正常打开的你的网页的用户
一个网站能被 XSS,比能被 CSRF 更不可饶恕。
【 在 LeBronWade (勒布朗·韦德) 的大作中提到: 】
: 跨站攻击的事件里至少有三个角色:黑客/黑客程序,普通用户,我们写的网站服务器。
: “黑客程序”劫持“普通用户”的浏览器,在浏览器(URL、Form等)里输入一些非法数
: 据,访问“我们写的网站服务器”,从而非法获取“普通用户”的数据、破坏“普通用
: ...................
--
修改:vonNeumann FROM 211.99.222.*
FROM 211.99.222.*
。。。
XSS 的意思是说:用户 A(恶意用户)向你们网站提交了一个带 <script></script> 的帖子,由于你没有对尖括号进行转义,用户 BCDEFG……(正常用户)打开你的网站时,看了一下 A 发的帖,然后就被执行了 A 提交的脚本
【 在 LeBronWade (勒布朗·韦德) 的大作中提到: 】
: 确实不懂……不太理解。
: 我看网上描述跨站攻击,是说用户会把类似于<script>...</script>的脚本,输入到form
: input或AJAX请求里面,或者在 www.myServer.com 后面加上非法的query string。
: ...................
--
修改:vonNeumann FROM 211.99.222.*
FROM 211.99.222.*
一般说的 XSS 不包括网站所有者自己搞的鬼(那种可以直接叫恶意网站了)
https://en.wikipedia.org/wiki/Cross-site_scripting
【 在 ottffsse (nothing) 的大作中提到: 】
: 这个不应该算 注入攻击么?
: 我觉得XSS是指做网页的人 故意插入 另外一个网站的script,--比如给你发封html格式的信--
: 然后你访问这个网页,执行了另外一个网站的script,然后把自己的cookie暴露了。
: ...................
--
FROM 14.147.84.*