XSS：还有问题吗？

Question

我说 XSS 不再是一个问题对吗？既然 IE 8/Chrome 无论如何都会阻止它吗？

Answer 1

不会。如果页面存在漏洞，您仍然可以利用 XSS 漏洞。

Answer 2

是的，浏览器已经改进了针对 XSS 攻击的分配。但请永远强制用户输入。例如，XSS 攻击策略仍然有效。

- 转义 HTML 标签。

[示例]
您有一个搜索引擎网站，其个人资料是其他人所不具备的
人们可以看到您保存的搜索。
[/示例]

当您的用户能够保存搜索结果并与其他用户共享并且用户保存此结果时：" />< /code> " /> 关闭标签并使其可以在其后输入黑客代码。可以窃取会话、插入图像或将用户重定向到另一个网站。

这只是一个仍然有效的小例子，还有更多。自己尝试一下吧！

更多信息：http://heideri.ch/jso/#html

Answer 3

恶意用户并没有消失。

主流浏览器中的许多 XSS 漏洞已被修复，但人们仍然可以通过多种方式利用您。

唯一改变的是，作为开发人员，防御 XSS 变得更容易，因为需要阻止/监视的内容更少。