老师您好,我看了您关于xss课程的讲解有几点疑问:
1. 一般评论功能文本框内输入的html标签是不被当作html去渲染的吧,比如csdn的评论,是可以输入代码的,而这些代码会原封不动的展示出来,所以应该是用innertext的吧?那么这些代码有没有必要防止xss攻击去过滤矫正吧?
2. 脚本攻击里的脚本除了您例子中的弹出框,一般都是什么脚本,比如获取用户信息?获取的这些用户信息有什么用?还不如在脚本内做跨域请求伪造,直接利用用户信息请求另一个网站的接口,这样可以达到攻击的效果,这样也就是说利用了跨域脚本攻击与跨站请求伪造共同实现?
1、如果评论支持富文本是需要将html代码还原的,这个时候就得检测xss并过滤
2. xss依然可以在你本地进行任何破坏行为,你可以理解为在你的页面内注入了js,这个js等同于你自己下发的,干什么都是可以的呀
登录后可查看更多问答,登录/注册
