我在我的网站上进行了扫描,寻找漏洞等。报告被回复说有可能发生XSS攻击,我查看了我的网站代码,这是我能找到的唯一问题(这是导致W3C验证错误)是我不小心将'language =“javascript”'添加到我的脚本标签中......这是否会抛出他们报告的错误?我没有任何表单输入,也没有连接到数据库。
非常感谢,提前。
答案 0 :(得分:2)
不,在language="javascript"标记上使用script不会造成XSS漏洞,即使这是不好的做法。不幸的是,如果没有任何相关代码,我无法辨别出你可能的XSS漏洞。
答案 1 :(得分:0)
如果您确定没有任何用户输入可以在您的网页上提供,那么就不会有任何XSS。
答案 2 :(得分:0)
任何声誉良好的顾问都应在报告中明确说明风险是什么以及如何转载。我希望看到有记录的方法,结果和结论。
如果他们无法表现出风险,那么他们就不能说他们找到了风险。
<强>更新
根据您的评论,我发现了以下内容,它将此标识为Apache网络服务器的一般漏洞,而不是您的特定代码。您应该询问管理您的虚拟主机的任何人发表评论。
处理无效的Expect标头时存在缺陷。如果攻击者可以影响受害者发送到目标站点的Expect标头,则他们可以执行跨站点脚本攻击。众所周知,某些版本的Flash可以设置一个可以触发此缺陷的任意Expect标头。未标记为2.0或2.2的安全问题,因为跨站点脚本仅在服务器超时后才返回给受害者。
更新2:
以下是对漏洞(link)的说明。请您的托管人员检查他们的服务器是否已正确修补。
2006年5月,记者在Apache发现了一个错误,其中发送了无效的Expect标头 到服务器(Apache 1.3.3以后)将返回错误的用户 消息,未转义。这可能只允许跨域脚本攻击 受害者可以欺骗连接到网站并发送这样的小心 精心制作的Expect标题。 Whist浏览器不提供此功能 最近发现Flash允许你与任意连接 头。因此攻击机制是:
- 用户被诱骗访问使用支持闪存的浏览器的恶意网站
- 恶意网站使用Flash影片建立与目标网站的连接 使用自定义Expect标题
- 这导致跨站点脚本(攻击者可能会窃取您的cookie) 第三方网站,或注入内容等)