Javascript XSS在现代浏览器中仍然是可能的_Javascript_Xss

Javascript XSS在现代浏览器中仍然是可能的

javascript

Javascript XSS在现代浏览器中仍然是可能的,javascript,xss,Javascript,Xss,我很好奇，XSS在今天是否仍然可行。我读了很多关于浏览器阻止它的文章，但我似乎错过了一些东西我自己尝试了几种方法，包括最简单的方法，AJAX调用（幸运的是被浏览器阻止）和查看和的内容，但都没有成功我读过关于domxss的文章，但这只适用于主机有一个页面，在该页面上它会从URL参数中回显内容的情况问题：现代浏览器安全吗？或者在离开页面之前，我为什么要注销我使用的每一项服务 XSS在今天是否仍然可行是的仅当主机有一个页面，在该页面上它会回显URL参数中的内容时，才会起作用当任何用户输入

我很好奇，XSS在今天是否仍然可行。我读了很多关于浏览器阻止它的文章，但我似乎错过了一些东西

我自己尝试了几种方法，包括最简单的方法，AJAX调用（幸运的是被浏览器阻止）和查看

和

的内容，但都没有成功

我读过关于domxss的文章，但这只适用于主机有一个页面，在该页面上它会从URL参数中回显内容的情况

问题：

现代浏览器安全吗？或者在离开页面之前，我为什么要注销我使用的每一项服务

XSS在今天是否仍然可行

是的

仅当主机有一个页面，在该页面上它会回显URL参数中的内容时，才会起作用

当任何用户输入输出（立即输出（针对反射攻击）或稍后输出（针对存储的攻击）到另一个人时，XSS是可能的。这就是XSS

同源策略（以及阻止访问不同来源上内容的相关安全功能）与XSS无关

现代浏览器安全吗

XSS是服务器提供的代码中的一个漏洞，它接受用户输入并对用户输入进行处理。无法判断用户输入是XSS攻击还是包含实时代码的合法数据提交。必须由服务器提供的代码处理，因为输入必须与上下文相关。

最后一个状态Ment不是真的。DOM XSS发生在客户端，但从未接触过服务器。JavaScript框架（如AngularJS）显然在客户端执行，因此会阻止XSS。此外，大多数现代浏览器都有一个通用的XSS过滤器，它试图减轻简单形式的反射XSS，这是另一种客户端防御。