什么是跨站脚本攻击击(Cross Site Script为了区别於CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码当用户浏览该页之时,嵌入其中Web里面的html代码会被执行从而达到恶意用户的特殊目的。
我们有个页面用于允许用户发表留言然后在页面底部显示留言列表
addElement()方法用于添加新的留言,而renderComments()方法用于展留言列表网页看起来是这樣的
因为我们完全信任了用户输入,但有些别有用心的用户会像这样的输入
这样无论是谁访问这个页面的时候控制台都会输出“Hey you are a fool fish!”如果這只是个恶意的小玩笑,有些人做的事情就不可爱了有些用户会利用这个漏洞窃取用户信息、诱骗人打开恶意网站或者下载恶意程序等,看个最简单的例子
利用xss窃取用户名密码
当然这个示例很简单几乎攻击不到任何网站,仅仅看看其原理我们知道很多登陆界面都有记住用户名、密码的功能方便用户下次登录,有些网站是直接用明文记录用户名、密码恶意用户注册账户登录后使用简单工具查看cookie结构名稱后,如果网站有xss漏洞那么简单的利用jsonp就可以获取其它用户的用户名、密码了。
var username=/中不幸不同微软validateRequest对表单提交自动做了XSS验证。但防不胜防总有些聪明的恶意用户会到我们的网站搞破坏,对自己站点不放心可以看看这个试试站点是否安全