本文介绍了XSS跨站脚本攻击的概念,XSS攻击允许恶意攻击者在网页中插入脚本,执行后获取用户的Cookie等敏感信息。示例展示了DOM Based XSS的攻击方式,即使浏览器自动转义部分特殊字符,攻击者仍能利用URL片段信息绕过防护。文章提到了Chrome的安全拦截功能,但指出IE可能存在的风险。
好久不发文章,我表示…我还活着。
只不过最近在写Git-books,所以忽略了我的这个博客。这两天在看Web安全相关的东西,觉得确实有意思。
XSS跨站脚本攻击
XSS 意为跨站脚本攻击(Cross Site Scripting),缩写应该是CSS,但是已经有了一个层叠样式表(Cascading Style Sheets),所以就叫它XSS了。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的,最常见的就是拿到攻击者的 Cookie 然后就可以登录别人的账号了。
清单 1. 存在 DOM based XSS 的 HTML 代码
<HTML>
<TITLE>Welcome!</TITLE>
Hi
<SCRIPT>
var pos=document.URL.indexOf("name=")+5;
document.
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
