我正在读这篇文章
http://msdn.microsoft.com/en-us/magazine/hh708755.aspx
与保护Asp.net应用程序有关,但有一点我无法理解,就像我正在浏览网址http://www.abc.com/XSS.aspx?test=ok,如果我将其替换为http://www.abc.com/XSS.aspx?test=警告('黑客')......网站是如何安全或被黑客攻击的?我想在这里提出的一点是,它不会影响或影响网站?
我上面提到过的例子,在很多地方都提到过它讨论安全问题,但是不明白
答案 0 :(得分:1)
想象一下,如果你打算在你的html页面上输出“test”的值(没有正确地转换为html使用),那么你可能会在你的页面上注入任何javascript!一些可能的漏洞利用可能会将背景改变为淫秽的东西,甚至将您的页面重定向到某些骗局网站......实际上会让您成为某些欺诈行为的附属品!
始终使用正确的退款来存储或使用用户提交的信息!!
编辑:我正在谈论的逃避将是有用的,以便人们不在您的数据库中注入html或JS。这最终会导致每个用户在他们的页面上获得注入的HTML / JS(如果注入的变量对每个人都相同)..而不仅仅是注入它的用户!!