前言

XSS 自動點按鈕有什么危害?

在社交網(wǎng)絡里,大多操作都是通過點擊按鈕發(fā)起的,例如發(fā)表留言。

假如留言系統(tǒng)有 XSS 漏洞,用戶中招后 XSS 除了攻擊之外,還能進行傳播 —— 它能自動填入留言內(nèi)容,并點擊發(fā)表按鈕,即可發(fā)出帶有惡意代碼的留言。好友看了中招后,又傳播給他們的好友。。。從而形成蠕蟲擴散。

那么,有沒有一種機制,讓「發(fā)表留言」必須通過用戶的「真實點擊」按鈕才能完成,而無法通過腳本自動實現(xiàn)?這樣就能減緩蠕蟲傳播速度了。

實現(xiàn)

這個想法聽起來好像不可行:如果發(fā)表留言需要帶上用戶行為信息,那么 XSS 完全可以偽造一份行為數(shù)據(jù),后端根本無法識別。

除非,用戶在點擊按鈕時會產(chǎn)生一個「特殊數(shù)據(jù)」,讓后端校驗它。

但是,XSS 也可以直接調(diào)用按鈕元素的 click 方法,這樣效果和用戶點擊仍然一樣。后端仍無法識別,是腳本點的,還是用戶點的。

這么看來,我們只能保護好這個「按鈕元素」,讓它沒法被 XSS 訪問到。例如,放在一個不同源的 iframe 里,這樣就和 XSS 所在的環(huán)境隔離了!

延伸閱讀

學習是年輕人改變自己的最好方式-Java培訓,做最負責任的教育,學習改變命運,軟件學習,再就業(yè),大學生如何就業(yè),幫大學生找到好工作,lphotoshop培訓,電腦培訓,電腦維修培訓,移動軟件開發(fā)培訓,網(wǎng)站設計培訓,網(wǎng)站建設培訓學習是年輕人改變自己的最好方式