我正在读这篇文章
http://msdn.microsoft.com/en-us/magazine/hh708755.aspx
与保护 Asp.net 应用程序有关,但有一件事我无法理解,就像我正在浏览 url http://www.abc.com/XSS.aspx?test=ok如果我用http://www替换它.abc.com/XSS.aspx?test= alert('hacked')... 该网站如何不安全或被黑客入侵?我想在这里说明的一点是它不会影响或影响网站?
我上面提到的例子,在很多地方都提到了安全性,但不明白
想象一下,如果您要在您的 html 页面上输出“test”的值(没有为 html 使用正确转义),那么您可能会在您的页面上注入任何 javascript!一些可能的利用可能会将背景更改为淫秽的东西,甚至将您的页面重定向到一些诈骗网站..实际上使您成为某种欺诈的附属品!
始终使用正确的转义来存储或使用用户提交的信息!
编辑:我正在谈论的转义将很有用,这样人们就不会在您的数据库中注入 html 或 JS。这最终会导致每个用户在他们的页面上获得注入的 HTML/JS(如果注入的变量对每个人都是相同的)......而不仅仅是注入它的用户!