21,886
社区成员
发帖
与我相关
我的任务
分享跨站脚本攻击危害究竟有多大?
刚刚看到w3school上的php form validation部分 http://www.w3schools.com/php/php_form_validation.asp
里面提到表单提交的数据要用htmlspecialchars()函数处理。
我想问问,即使不处理能造成多大的危害?顶多不过被插入个脚本转向到其他的网站吧。应该是读取不到用户本地的数据,因为貌似Javascript是不能读取本地文件的。
如果危害很大,那岂不是每个提交的field都要用htmlspecialchars()函数处理一下?
里面提到表单提交的数据要用htmlspecialchars()函数处理。
我想问问,即使不处理能造成多大的危害?顶多不过被插入个脚本转向到其他的网站吧。应该是读取不到用户本地的数据,因为貌似Javascript是不能读取本地文件的。
如果危害很大,那岂不是每个提交的field都要用htmlspecialchars()函数处理一下?
...全文
请发表友善的回复…
发表回复
傲雪星枫 2014-08-30
- 打赏
- 举报
如果每个人都不去点来历不明的网址,就没有危害了。
举个例子吧。
例如:有一个页面,页面地址是http://www.example.com/view.php
页面中有一个按钮,“显示列表“,按钮url是http://www.example.com/showlist.php
如果页面有xss漏洞,
例如访问http://www.example.com/view.php?hack=1时
导致按钮地址被改为http://www.example.com/delete.php
然后把http://www.example.com/view.php?hack=1这个地址传给一般用户,用户点击里面的按钮后,就会执行删除动作了,但这并不是这个按钮的原来意思。危害就在这里。
举个例子吧。
例如:有一个页面,页面地址是http://www.example.com/view.php
页面中有一个按钮,“显示列表“,按钮url是http://www.example.com/showlist.php
如果页面有xss漏洞,
例如访问http://www.example.com/view.php?hack=1时
导致按钮地址被改为http://www.example.com/delete.php
然后把http://www.example.com/view.php?hack=1这个地址传给一般用户,用户点击里面的按钮后,就会执行删除动作了,但这并不是这个按钮的原来意思。危害就在这里。
剑心永远OK 2014-08-30
- 打赏
- 举报
XSS攻击有时候比较鸡肋.
但并不总是处于鸡肋的状况
晓敬 2014-08-30
- 打赏
- 举报
1、截取用户的session(可通过session的绑定注册/登陆IP来限制)
2、更改页面内容。将提交的内容发送到攻击者网站,隐蔽点可以通过target='iframeName'来隐藏
3、如果你的网站有(签名)可信的applet或者是flash的话,可以通过这个直接操作本地文件,例如OA
风.foxwho 2014-08-30
- 打赏
- 举报
如果危害很大,那岂不是每个提交的field都要用htmlspecialchars()函数处理一下?
其实你只要在程序入口处,把所有GET,POST,COOKIES都一起过滤就好了
风.foxwho 2014-08-30
- 打赏
- 举报
一般人不想搞你的时候,什么东西都安全,想搞你的时候,防御再好,还是可以找到防御漏洞的。
高级浏览器都会有这个功能的防止跨站攻击的。如果你装了杀软,也有这个功能
<a href="这边是经过特殊编码过的,跨站脚本链接">www.baidu.com</a>
你访问这个链接,那么其中的脚本就会执行。
