我已经阅读了有关使用令牌以防止攻击者使用XSS向网站提交恶意内容的所有信息。我的问题是从网站获取安全内容。
例如,我们有一个电子商务网站,其中包含我的帐户页面,其中列出了所有用户以前的订单,攻击者是否可以诱使用户进入第三方网站,然后启动脚本或某些东西假装是用户并从我们这里获取信息?
答案 0 :(得分:1)
是的,这是可能的。如果有人可以通过利用您网站上的XSS错误将一些JavaScript代码注入您的页面,他们可以编写一些代码来获取所有用户的信息。或者,如果有人窥探您的网络(或用户的网络),他们可以获取用户的会话cookie。
如果您在.NET中,请查看Html.AntiForgeryToken()
以帮助保护自己,并使用HTTPS进行所有操作。
答案 1 :(得分:0)
特别感谢LachlanB提供了一些额外的信息。经过进一步的研究,似乎我不必担心这个非常具体的案例,因为大多数现代浏览器采用相同的原始政策。
“在计算中,同源策略是许多浏览器端编程语言(如JavaScript)的重要安全概念。该策略允许在源自同一站点的页面上运行脚本 - 方案,主机名的组合和端口号[1] - 访问彼此的方法和属性没有特定限制,但阻止访问不同站点上的页面上的大多数方法和属性。[1]同源策略也适用于XMLHttpRequest和robots.txt 。[2]“维基百科