一般人不想搞你的时候,什么东西都安全,想搞你的时候,防御再好,还是可以找到防御漏洞的。
高级浏览器都会有这个功能的防止跨站攻击的。如果你装了杀软,也有这个功能<a href="这边是经过特殊编码过的,跨站脚本链接">www.baidu.com</a>
你访问这个链接,那么其中的脚本就会执行。
高级浏览器都会有这个功能的防止跨站攻击的。如果你装了杀软,也有这个功能<a href="这边是经过特殊编码过的,跨站脚本链接">www.baidu.com</a>
你访问这个链接,那么其中的脚本就会执行。
其实你只要在程序入口处,把所有GET,POST,COOKIES都一起过滤就好了
2、更改页面内容。将提交的内容发送到攻击者网站,隐蔽点可以通过target='iframeName'来隐藏
3、如果你的网站有(签名)可信的applet或者是flash的话,可以通过这个直接操作本地文件,例如OA
http://www.baidu.com/s?wd=XSS%E6%94%BB%E5%87%BB&ie=utf-8
例如:有一个页面,页面地址是http://www.example.com/view.php
页面中有一个按钮,“显示列表“,按钮url是http://www.example.com/showlist.php如果页面有xss漏洞,
例如访问http://www.example.com/view.php?hack=1时
导致按钮地址被改为http://www.example.com/delete.php然后把http://www.example.com/view.php?hack=1这个地址传给一般用户,用户点击里面的按钮后,就会执行删除动作了,但这并不是这个按钮的原来意思。危害就在这里。