我很好奇,今天是否仍然可以使用XSS。我阅读了很多关于浏览器阻止它的内容,但我似乎错过了一些东西。
我自己尝试了几种方法,包括最简单的方法,AJAX调用(幸运地被浏览器阻止)以及查看<iframe>
和<frameset>
的内容,无论如何都没有成功。
我读到了关于DOM XSS的内容,但是只有当主机有一个从URL参数回显内容的页面时,这才会起作用。
问题:
现代浏览器是安全的,还是有任何理由说明为什么我要在离开页面之前注销我使用的每项服务?
答案 0 :(得分:1)
今天是否仍然可以使用XSS。
是的,是的。
只有在主机有一个页面从URL参数回显内容时才会起作用。
当输出任何用户输入时(无论是立即(对于反射攻击)还是以后,可以向不同的人(对于存储的攻击)输出XSS是可能的。这就是XSS。
同源策略(以及阻止访问其他来源内容的相关安全功能)与XSS无关。
现代浏览器是否安全
XSS是服务器提供的代码中的漏洞,它接受用户输入并对其执行某些操作。无法判断用户输入是XSS攻击还是包含实时代码的合法数据提交。它必须由服务器提供的代码处理,因为输入必须用上下文敏感性来处理。