专门针对为网络编译的Unity游戏。
由于Unity的网络导出程序以HTML5为目标,这是否会使其对XSS攻击开放。例如,假设有一个多人游戏,用户可以输入和保存游戏中所有玩家都可以查看的文字。恶意用户是否能够注入一些javascript,然后在运行游戏的所有客户端中执行,这些javascript可以看到输入的文本?
答案 0 :(得分:0)
答案在很大程度上取决于您的服务器的设置方式,但一般而言,您发送到服务器和进程而不进行清理的任何数据都会使其对XSS攻击开放。同样,这取决于您对该数据的处理方式,但最好是始终对数据进行清理。除非您在服务器中运行WebGL实例来处理该数据,否则这里没有太具体的WebGL。
答案 1 :(得分:0)
是的,在某种程度上。如果您允许将未经过处理的代码放入您的网页,无论是JS还是WebGL着色器还是其他任何内容,它都可以执行并利用您的用户。
话虽这么说,我从来没有听说过在XSS中使用WebGL。在某些方面可能是因为它更容易(人们已经做了更长时间)在页面上注入一个小脚本,而不是让一个完整的着色器启动和运行。更重要的是,XSS攻击通常是关于窃取来自用户的信息,或者让他们自动“采取行动”他们没有授权做或类似。使用大量GPU功能对于实现XSS黑客的目标并不是那么有用。
如果我们确实看到在XSS攻击中使用的WebGL,我猜它可能是一个加密方案,因为这是少数可以从GPU处理能力类型中受益的东西之一。
为了缓解这种情况,与所有XSS一样,清理,清理,消毒!确保从客户端到服务器的任何步骤都不能回到客户端,用户在该框中输入的内容可以自行执行任何操作, Javascript,SQL,WebGL,没什么。