2
如果我的web服务器只提供静态页面,并且我的html页面允许用户运行任何javascript。 '坏'用户能否对我造成任何伤害?允许在我的页面上注入任何javascript。有什么风险?
p.s. 有很多关于关注XSS的讨论,我正在做的更糟。 我让用户注入他/她的JavaScript。 我不明白的是他们可以造成什么样的伤害?
谢谢
A
回答
3
我可以使用Firebug或Chrome检查器在浏览器的任何页面上运行JavaScript。如果您允许用户在其他用户的浏览器中运行JavaScript,则唯一的问题就出现了。
3
不良用户不能对您做任何损害。
但是,用户A可以在页面中插入一些导致用户B烦恼或彻底损坏的JavaScript代码。然后用户B可能会让您对发生的事情负责。
0
用户可以保存JavaScript并让其他人在以后运行它吗?这就是麻烦所在。
+0
请参阅owasp.org上反映的跨站点脚本。这不仅仅是存储未来攻击的东西。 – atk 2010-09-13 02:38:56
2
如果用户可以将JavaScript注入您的页面,那么它被称为跨站点脚本(XSS)。
看看存储和反映的跨站脚本之间的区别。两者都可以被视为一个安全漏洞,但存储的XSS具有更大的潜在损害。存储的XSS允许攻击者执行用户的document.cookie的HTTP帖子,作为最坏的情况允许攻击者登录到管理页面。
由于“静态”内容,XSS可能不会成为您网站的关注点。但是随着时间的推移,网站会有变化和改善的趋势,然后那些不可利用的旧错误成为很好的攻击媒介。
0
告诉我用户输入是否保存并显示回来。如果那么我可以运行下面的代码,这将导致浏览器崩溃
<script>
window.location = "https://www.google.com";
</script>
相关问题
- 1. 为什么这些代码片段有风险? (SQL注入)
- 2. 允许引用字符作为URL参数的一部分有什么风险?
- 3. PHP XSS问题 - GET参数在页面上输出什么都没有风险?
- 4. 为什么我的RegularExpressionValidator允许不输入任何文本?
- 5. 让用户上传和运行Javascript有什么风险
- 6. 允许用户上传HTML/JS文件的风险
- 7. 在页面上的JavaScript我可以存储以允许在Cookie中的JavaScript
- 8. 在asp页面上的asp注入和sql注入有什么区别
- 9. 风险分析与风险缓解有什么区别?
- 10. 允许执行外部接口实现:有哪些风险?
- 11. PHP代码注入。我们有安全风险吗?
- 12. 你有什么风险管理策略?
- 13. 使用Macports有什么风险?
- 14. 使用xpath有什么安全风险?
- 15. 有任何安全风险codealike?
- 16. 在centos上使用apt-get有什么风险?
- 17. 在PHP的mail()函数中是否有注入风险?
- 18. 允许用户选择页面上的任意元素
- 19. 是否允许从远程服务器向页面注入JavaScript文件?
- 20. 允许用户输入代码示例的最危险的方法是什么?
- 21. 是否有任何JQuery插件允许上传文件而不刷新页面?
- 22. Java CompletableFuture.runAsync回复......任何潜在风险?
- 23. 允许注册页面的用户尚未注册
- 24. 允许页面布局在主页面上隐藏控件
- 25. 将JavaScript注入页面
- 26. 如果我使用aspnet_membership,有什么风险
- 27. 在SSL页面中使用SSL iframe有什么危险
- 28. 在HTML/Javascript页面中使用/不使用表单的输入字段有没有任何危险?
- 29. 初始化变量 - 为什么以及有什么风险?
- 30. Emacs中的“风险”是什么?
你的意思是“我的html页面允许用户运行任何javascript”? – Skilldrick 2010-08-13 13:58:49