以下是我作为index.html保存到计算机桌面的example.com代码:
<channel> <title>Comments on: Voor uw organisatie</title> <atom:link href="https://example.com/feed/" rel="self" type="application/rss+xml" /> <link>https://example.com</link> <description>PIM: Wie weet wat van mij?</description> <lastBuildDate>Mon, 17 Sep 2018 13:22:52 +0000</lastBuildDate> <sy:updatePeriod>hourly</sy:updatePeriod> <sy:updateFrequency>1</sy:updateFrequency> <generator>https://wordpress.org/?v=4.9.3</generator> </channel>
我在文本编辑器中打开了该文件并进行了更改
<generator>https://wordpress.org/?v=4.9.3</generator>
至
<generator>"><img src="x" onerror="alert(document.cookie)"></generator>
当我在Firefox中打开修改后的HTML文件时,我会收到一个带有cookie的警报框。我知道这是XSS,因为我在浏览器中收到了XSS警报。
我的问题是为什么会发生这种情况?因为我没有在参数中注入此代码。那么开发人员如何解决这个问题或清理这些代码呢?
这有什么影响吗?
鉴于Alice运行的网站和Bob访问的网站,当Mallory(攻击者)导致JavaScript在Bob的网站上的Alice浏览器中运行时,会发生XSS攻击。
Alice在她的计算机上编辑HTML文档(甚至是从另一个网站复制的文档),因此它运行JavaScript,然后在她的浏览器中加载该HTML文档不会执行XSS攻击。她只是在她完全控制的系统上运行JavaScript。
这不是XSS,这是破HTML。警报是误报。