如果我是恶意的(或恶意的,没有思想的话),我可以在我正在工作的网站(或我正在构建的后端网络应用程序)中添加一些PHP,这些网站可以发送一些我无权发送给我的数据远程服务器。有很多方法可以实现这一目标。
我想知道: Javascript可以做类似的事情吗?
例如,是否可以通过使用一些html / css / javascript网页模板进行间谍活动,该模板将披露来自(关于)我网站的信息 - 从我的网站/网络应用程序向恶意开发者的远程服务器发送任何类型的信息?
提前致谢。
答案 0 :(得分:1)
是的,当然您可以使用javascript将数据发送到其他服务器。 PHP-snippet方法的不同之处仅在于它是在客户端执行的,在用户的应用程序视图中。因此,您只能泄漏当前用户所知的数据,并且您只能使用当前用户的权限(以及他的凭据)来破坏应用程序。
然而,检测javascript注入(也可能在客户端或传输期间发生)比恶意PHP代码段更难。