XSS漏洞被利用,因为浏览器使用会话ID存储cookie,因此对您登录的站点的URL的任何访问权限都与登录用户的权限一致。
如果改为使用cookie,我们通过URI登录用户,在URI本身上添加会话?像这样:
http://domain.com/123456/index.php?mailbox=Inbox
这里,“123456”是会话ID。对于攻击者来说,以这种方式利用XSS会更加困难,因为cookie没有设置,也无法访问用户的URI历史记录。
缺点是,当您向用户传递任何页面时,必须在每个链接的URI上传播会话ID,如果丢失,则用户将自动注销。但这会更安全。
此解决方案可以防止XSS漏洞吗?
答案 0 :(得分:1)