这是安全漏洞、XSS 还是 CSRF?

发布于 2024-09-30 17:41:28 字数 152 浏览 8 评论 0原文

假设我的 javascript 发出了一个 ajax 请求,并且在回调函数中执行了 eval(response_text) 操作,而不检查 response_text 中的任何内容。

有些东西告诉我这不好,但是为什么以及如何利用它呢?难道总是我的服务器会向它发送好的数据吗?

Lets say my javascript makes an ajax-request and in the callback-function it does eval(response_text) without checking the response_text for anything.

Something tells me this is not good, but why and how could it be epxloited? Wont it be always my server which will send it good data?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

长梦不多时 2024-10-07 17:41:28

如果它来自不受信任的来源,则很容易受到 XSS 攻击。攻击者可以调用您网站上的函数。

考虑这样一种情况:攻击者将脚本标记附加到从其站点加载脚本的文档中。

That would be vulnerable to an XSS if it comes from an untrusted source. The attacker can call a function on your site.

Think of a situation where the attacker appends a script tag to the document that loads a script from his site.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文