gpt4 book ai didi

javascript - XSS 是如何工作的——特别是当我们有跨域安全时?

转载 作者:行者123 更新时间:2023-11-28 19:29:30 24 4
gpt4 key购买 nike

我读到How does XSS work?但我还是不明白这一点。

场景:

  1. 我运行 mybank.com 网站,最终用户登录该网站。
  2. 有人通过提交打印或回显的 GET 来“注入(inject)”恶意代码。
  3. 据我所知,您的请求始终会发送至 mybank.com,因为默认情况下不允许跨域请求。
  4. 那么,假设 mysite 是想要利用 mybank.com 的 XSS 漏洞的恶意用户网站,我实际上如何设法将内容发送到 mysite.com?

如果我不能改变第 3 点,那么我可能就无法改变第 4 点。但如果 4 可以通过更改 window.location.href 或 document.location 来完成,即打破假设 3 吗?现在它的行为就像是 mysite.com 吗?

或者有没有其他方法可以在没有 4 的情况下劫持网站?

最佳答案

一旦代码被注入(inject),就没有“安全性”,浏览器认为网站上运行的所有代码都属于那里。

想想当您编码时可以在自己的网页中做什么。您可以让 JavaScript 单击按钮、提交表单、单击链接等。您可以让代码注入(inject)元素、更多代码、删除内容等。

想象一下开发人员可以对电子邮件应用程序或银行帐户执行哪些操作。他们可以发送电子邮件或转账。只需执行正确的步骤即可。

现在他们如何将信息传输出去?就像发出 GET 或 POST 请求一样简单。他们在某处设置一个端点并向其发出请求。端点记录数据。可以通过 AJAX、图像、表单提交、加载 ifrmaes 等方式发出请求。

Cross Domain requests如果您想要交谈的其他域允许,则允许。

关于javascript - XSS 是如何工作的——特别是当我们有跨域安全时?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27150341/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com