Javascript 这是什么类型的XSS以及如何防止它
下面是example.com的代码,我将其作为index.html保存到我的计算机桌面:Javascript 这是什么类型的XSS以及如何防止它,javascript,web-applications,xss,Javascript,Web Applications,Xss,下面是example.com的代码,我将其作为index.html保存到我的计算机桌面: <channel> <title>Comments on: Voor uw organisatie</title> <atom:link href="https://example.com/feed/" rel="self" type="application/rss+xml" /> <link>https://example.com</li
<channel> <title>Comments on: Voor uw organisatie</title> <atom:link href="https://example.com/feed/" rel="self" type="application/rss+xml" /> <link>https://example.com</link> <description>PIM: Wie weet wat van mij?</description> <lastBuildDate>Mon, 17 Sep 2018 13:22:52 +0000</lastBuildDate> <sy:updatePeriod>hourly</sy:updatePeriod> <sy:updateFrequency>1</sy:updateFrequency> <generator>https://wordpress.org/?v=4.9.3</generator> </channel>
<generator>https://wordpress.org/?v=4.9.3</generator>
这有什么影响吗?这不是XSS,这是破损的HTML。此警报为假阳性。鉴于Alice运行的网站和Bob访问的网站,当攻击者Mallory在Bob网站的Alice浏览器中运行JavaScript时,将发生XSS攻击
Alice在她的计算机上编辑HTML文档,甚至是从另一个网站复制的HTML文档,以便它运行JavaScript,然后将该HTML文档加载到她的浏览器中,并不是在执行XSS攻击。她只是在一个完全由她控制的系统上运行JavaScript。我可以用html标记嵌入JavaScript。并通过Cookies获取XSS警报。你确定这不是XSS吗?@user185823你只是在编辑你自己的文件。。。那怎么可能是XSS攻击呢?这里没有发生任何事情,但是你编辑了你自己的文件并得到了直接的结果。没有。有一个网站我不想提及,但称之为example.com,我只是将WordPress.org替换为img src=x onerror=alertdocument.cookie>,并保存为index.html,打开后我得到了XSS警报cookies@user185823你的意思是?这到底是如何改变这个例子的呢?好吧,我刚刚读了这篇文章,我想我发现了类似的东西。这就是我问这个问题的原因。XSS攻击是指在不改变原始源代码的情况下将代码注入页面。。。。。您所做的只是修改页面,就好像您正在对其进行编码一样。@epascarello-大多数XSS攻击都利用服务器端的安全漏洞,并更改HTML源代码。
<generator>"><img src="x" onerror="alert(document.cookie)"></generator>