XSS跨站脚本攻击

XSS跨站脚本攻击

在做社区项目的时候,发现了一个XSS漏洞。

img

什么是XSS跨站脚本攻击?

XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

在点击回复二级评论时,JavaScript脚本会注入页面:

示例:

img

img

然后客户端就调用脚本alert导致无限弹窗。

还可以使用

<script>alert(document.cookie)</script>

获取页面cookie,比如登录的token。

解决办法:

Jsoup使用标签白名单的机制用来进行防止XSS攻击

参考:

[XSS跨站脚本攻击]

security
Licensed under CC BY-NC-SA 4.0
Last updated on Mar 23, 2024 06:11 UTC
© 2019 - 2024 Kayleh's blog
让过去的过去,给时间点时间
Built with Hugo
Theme Stack designed by Jimmy