我已经阅读了所有关于使用令牌来防止攻击者使用 XSS 向站点提交恶意内容的信息。我的问题是关于从网站获取安全内容。
例如,我们有一个电子商务网站,其中包含我的帐户页面,其中列出了所有用户以前的订单,攻击者是否有可能引诱用户进入第 3 方网站,然后启动脚本或其他东西来假装用户和从我们这里获取信息?
问问题
41 次
2 回答
1
是的,有可能。如果有人可以通过利用您网站上的 XSS 漏洞将一些 javascript 代码注入您的页面,他们可以编写一些代码来获取所有用户的信息。或者,如果有人窥探您的网络(或用户的网络),他们可以获取用户的会话 cookie。
如果您在 .NET 领域,请检查Html.AntiForgeryToken()以帮助保护自己,并为一切使用 HTTPS。
于 2013-09-11T04:28:38.630 回答
0
特别感谢 LachlanB 提供一些额外的信息。经过进一步研究,我似乎不必担心这个非常具体的案例,因为大多数现代浏览器都采用相同的来源策略。
“在计算领域,同源策略是许多浏览器端编程语言(例如 JavaScript)的重要安全概念。该策略允许脚本在源自同一站点的页面上运行——方案、主机名和端口的组合number[1] – 访问彼此的方法和属性,没有特定限制,但阻止跨不同站点的页面访问大多数方法和属性。[1] 同源策略也适用于 XMLHttpRequest 和 robots.txt。[2 ]”维基百科
于 2013-09-16T01:54:54.227 回答