程序员经验分享-hwhale

跨站脚本攻击和同源策略

2024-01-21

我熟悉持久性和非持久性XSS http://en.wikipedia.org/wiki/Cross-site_scripting。 我也知道同源政策 http://en.wikipedia.org/wiki/Same_origin_policy防止/限制源自一个网站页面的请求前往另一网站服务器。这让我认为同源策略至少可以阻止非持久性类型的XSS攻击(因为在持久性类型的攻击中,恶意代码的来源将与被盗的私人信息相同)。 我的理解正确吗? SOP 可以用来阻止/减少这些攻击吗?

编辑:好的,我对浏览器端两个脚本之间的调用方法和另一个网站上的 HTTP POST 等方法的调用感到困惑。谢谢杰克伯的回答。

现在我还有一个问题,SOP 是否能够阻止跨站请求伪造 http://en.wikipedia.org/wiki/Cross-site_request_forgery? 维基百科中给出的示例讲述了 Bob 访问 Mallory 在聊天论坛上创建的恶意图像标签。然而,根据 SOP 规则,恶意脚本不应该能够访问银行的 cookie。我在这里错过了什么吗?


通常不会。

非持久性或反射型 XSS 攻击利用未经适当清理而作为页面内容回显的输入,也不会持久化它。在这两种情况下,注入的脚本似乎都来自被利用的域。

例如,如果您在 PHP 中执行此操作:echo $_GET['param']并将该页面的链接发送给某人,其中包含?param=<script>alert('got you!');</script>这是一种非持久性XSS攻击,与同源策略无关。

同源意味着你不能直接注入脚本或修改其他域上的 DOM:这就是为什么你需要首先找到 XSS 漏洞。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

Xss

sameoriginpolicy

跨站脚本攻击和同源策略 的相关文章

  • Vue - 确认消息中的用户输入样式(允许特定的 html 标签)

    使用 Vue 我想显示一个确认模式 其中显示类似 您确定要删除 itemName 吗 将 Javascript 字符串绑定到嵌入到模板中的变量就足够简单了 但是 如果我想把itemName用斜体来强调它 我能找到的唯一方法是使用v html

  • 您能否关闭 IE7 中的 XSS 保护,以便 Intranet 应用程序可以知道异地 IFRAME 的内容?

    TL DR 我是否可以在受控环境中关闭 Internet Explorer 中的 XSS 保护 以便可以操作 IFRAMES 内的 DOM 我正在接待区为公共计算机创建一个信息亭 让我们的用户可以浏览我们的网站以及其他一些地方政府相关网站

  • 以 XSS 安全方式替换 AJAX 响应中的选项

    从内部succcess我的 AJAX 响应的方法 我的目标是以 XSS 安全的方式执行以下操作 删除所有现有的options在选择框中 替换同一选择框中的选项 这是删除和替换选项的一种方法 但我对这种策略完全安全的 XSS 没有很高的信心

  • 防御 XSS 攻击?

    我对 PHP 很陌生 但我听说 XSS 漏洞很糟糕 我知道它们是什么 但如何保护我的网站 为了防止 XSS 攻击 您只需正确检查和验证您计划使用的所有用户输入的数据 并且不允许从该表单插入 html 或 javascript 代码 或者您可

  • V-html只用于文本,安全吗?

    我现在在关于原始 HTML 的 Vue 文档 https v2 vuejs org v2 guide syntax html Raw HTML说明我们可以使用v html渲染一些内部 html 我承认这是合法且最简单的技巧 但由于我很担心

  • 如何使用 AntiXss 库正确清理内容?

    我有一个简单的论坛应用程序 当有人发布任何内容时 我会 post Content Sanitizer GetSafeHtml post Content 现在 我不确定我是否做错了什么 或者发生了什么 但它不允许几乎没有 html 甚至简单

  • 是否需要验证或转义jsonp回调字符串

    我有一个名为 action php 的文件 它将执行一些操作 我想将其公开为纯 JSON 或 JSONP 输出 用户将使用如下 URL 来调用它 action php jsonp callback 在我的action php中我正在做这样的

  • 在没有脚本标签的情况下执行 XSS JavaScript

    我正在学习 XSS 出于道德目的 我想知道如何在不使用

  • 上的 XSS 数据 URI 是否可被利用?

    读完这篇文章后 我没有一个明确的答案 http palizine plynt com issues 2010Oct bypass xss filters http palizine plynt com issues 2010Oct bypa

  • jsFiddle 中的 AJAX

    如何模拟 jQuery get http api jquery com jQuery get 在 jsFiddle 中加载来自不同域的数据 This won t work in jsFiddle get http www google co

  • 在 Struts 2 中使 ${} 运算符 XSS 安全(与 Tapestry 相同)

    正如中提到的http www disasterarea co uk blog xss vulnerability in web frameworks 2 http www disasterarea co uk blog xss vulner

  • 关于客户端安全,CORS 除了破坏同源策略之外还有其他作用吗?

    如果没有 它真的可以提高客户端安全性吗 我正在考虑来自服务器 X 的脚本使用 XHR 从服务器 Y 支持 CORS 获取并运行不受信任的代码的情况 显然评估不受信任的代码是不好的 我根本不使用 CORS 来提高安全性 我使用 CORS 访问

  • 为什么标签 x = txtName.Text;遭受XSS攻击,如何预防?

    我有以下代码 label x txtName Text 当安全团队分析该 dll 时 他们表示可以对上述代码执行 XSS 攻击 我知道文本框Text属性并不能防止 XSS 攻击 那么我现在应该做什么 下面的修改能解决这个问题吗 label

  • 为什么跨域 JSONP 安全,而跨域 JSON 不安全?

    我在连接最近了解 JSONP 的一些点时遇到了困难 这是我的理解 由于同源政策 禁止任何内容 包括 JSON 的跨域 XmlHttpRequest 这可以防止 XSRF 您可以使用带有返回 JSONP 的 src 的脚本标记 在对 Java

  • 我应该采取哪些预防措施来防止用户提交的 HTML 出现 XSS?

    我计划制作一个网络应用程序 允许用户在我的网站上发布整个网页 我正在考虑使用HTML 净化器 http htmlpurifier org 但我不确定 因为 HTML Purifier 会编辑 HTLM 并且 HTML 的发布方式保持不变非常

  • 将准备好的语句包装在函数中[重复]

    这个问题在这里已经有答案了 我一直在阅读有关 SQL 注入的文章 并决定修改我的代码以防止 SQL 注入 例如 我有一个输入 我将其值插入到数据库中 最初 我对注射的防范是这样的 function test input data data

  • HTMLPurifier 破坏图像

    我试图根据 WYSIWYG CK 编辑器 的用户输入运行 HTMLPurifier 但图像损坏 未过滤的输入 img alt laugh src lib ckeditor plugins smiley images teeth smile

  • 如何修复java中反映的XSS

    我收到了强化报告 其中显示了来自下面第二行的 XSS 反射缺陷 String name request getParameter name response getWriter write 姓名 姓名 给出的建议 向 Web 客户端显示的所

  • 谁能解释一下这些 XSS 测试字符串吗?

    最近我发现了这个关于 XSS 和 Web 应用程序安全的教程 gt https www owasp org index php XSS Filter Evasion Cheat Sheet XSS Locator https www owa

  • 使用 CSP 防止自动点击链接 XSS 攻击

    当将 CSP 用于稍微不同的目的 沙箱 时 我意识到一个非常简单的自动点击链接似乎甚至可以绕过相对严格的 CSP 我所描述的内容如下 内容安全政策 default src none script src unsafe inline 还有身体

随机推荐

热门标签