Google plus &引用;“防XSS保护”;加入]}';在ajax响应之前
Google plus返回ajax请求,第一行带有Google plus &引用;“防XSS保护”;加入]}';在ajax响应之前,google-plus,xss,Google Plus,Xss,Google plus返回ajax请求,第一行带有)]}。我听说这是对XSS的保护。有没有任何例子表明,如果没有这种保护,人们可以做什么,如何做?下面是我对这里发生的事情的最佳猜测 首先,google json格式的其他方面不是非常有效的json。因此,除了任何保护目的之外,他们可能会使用这个特定的字符串来表示文件的其余部分是google json格式的,需要进行相应的解释 使用此约定还意味着数据提要不会从脚本标记的调用执行,也不会直接从eval()解释javascript。这确保了前端开发人员
)]}
。我听说这是对XSS的保护。有没有任何例子表明,如果没有这种保护,人们可以做什么,如何做?下面是我对这里发生的事情的最佳猜测
首先,google json格式的其他方面不是非常有效的json。因此,除了任何保护目的之外,他们可能会使用这个特定的字符串来表示文件的其余部分是google json格式的,需要进行相应的解释
使用此约定还意味着数据提要不会从脚本标记的调用执行,也不会直接从eval()解释javascript。这确保了前端开发人员通过解析器传递内容,解析器将阻止任何植入的代码执行
所以为了回答您的问题,有两种看似合理的攻击可以防止,一种是通过脚本标记跨站点的,但更有趣的是在站点内部。这两种攻击都假定:
在谷歌的场景中,这些攻击由于许多原因都不起作用。前5个字符将在攻击代码运行之前导致javascript错误。此外,由于开发人员被迫解析代码,而不是意外地通过eval运行代码,因此这种做法将阻止代码被执行。正如其他人所说,这是错误的是一种防止跨站点脚本包含(XSSI)的保护 我们解释为: 第三,您应该确保脚本不是可执行的 执行此操作的标准方法是将一些不可执行的前缀附加到 在同一个域中运行的脚本可以 阅读响应的内容并去掉前缀,但是 无法在其他域中运行脚本
相关:这正是我所说的“我听说这是针对XSS的保护”的问题。这应该是一个新问题吗?你可能会在另一个问题中得到更多信息……是的,它应该。我想要黑客行为的例子
["example"]
[""];alert('example');"]