RESTFUL风格的URL存在XSS漏洞吗?

Question

类似于http://weibo.com/apis/show_friends这种HTTP API风格的URL,是否依然存在XSS漏洞呢?

Answer 1

XSS漏洞出现的原因是你的数据操作API有没有可能被人无转义的注入可执行脚本，譬如：你有一个保存用户的API：

http://xxxx/api/saveuser

而如果我在调用这个api时，如果可以在用户信息里传入一段脚本，并且你的后端服务没有对其进行处理，譬如我给的用户信息是：

{
    name: 'Hanmeimei',
    introduction: '<script>alert('Hello World')</script>'
}

如果后端服务器无转义的直接把这段introduction存到数据库里，而且取出时也没转义，那当前端把这个字段显示到页面时就可能直接弹出alert。

所以是否存在XSS注入风险，和是否restful风格没有严格关系，关键在于设计/开发时是否考虑到了这个问题，并做了相应处理