1
這是一個理論問題。XSS登錄頁面
假設我有一個包含三個元素的登錄頁面:用戶名文本框,密碼文本框,登錄按鈕。我清理輸入並啓用配置中的請求驗證。
該網站仍然可以通過哪些方式容易受到XSS? (假設網站上沒有其他頁面可以被未經認證的用戶訪問)
Q
XSS登錄頁面
A
回答
1
簡單頁面上不會有XSS;除非你使用javascript解析頁面參數並將它們嵌入到頁面中(例如,「[email protected]的密碼錯誤」,其中[email protected]來自輸入字段,未正確消毒)。
0
XSS對靜態不是威脅。 XSS是一種威脅,來自惡意用戶的內容能夠被其他用戶查看。
一個簡單的例子是Facebook郵件或Twitter郵件,它惡意嵌入JavaScript,以便在其他人在其時間線上查看時執行。
在單個靜態頁面中,這不是威脅。它可能成爲一種威脅的方式是,如果該頁面具有用戶可以輸入內容的評論功能。 XSS成爲威脅的另一種方式是他們自己註冊一個描述或用戶名,這是一個javascript字符串。您提供了一個列出最新註冊用戶的頁面,現在他們的JavaScript在頁面上變爲活動狀態。
如果用戶無法獲取內容到您的頁面,XSS不會發生。
需要關注的是任何時候你將原始輸出放到頁面上,無論它來自查詢字符串還是來自無主服務器。如果有人可以將您託管在CDN上的jQuery的副本替換爲惡意jQuery,那將引入XSS。
注意第一頁,ASP.NET和IIS在保護您免受XSS攻擊方面走的很遠。如果您不禁用ASP.NET和IIS的安全功能,則絕大多數矢量都不受惡意代碼提交給服務器的用戶的保護。這並不是說這是不可能的,但內置的保護功能非常強大,除非你禁用它們。
相關問題
- 1. ASP.NET登錄頁面
- 2. PINCODE登錄頁面
- 3. 登錄頁面desplay
- 4. wordpress登錄頁面
- 5. 登錄頁面iPhone
- 6. asp.net登錄頁面
- 7. Nodejs登錄頁面
- 8. WPF登錄頁面
- 9. Recaptcha登錄頁面
- 10. Magento登錄頁面
- 11. aurelia登錄頁面
- 12. React登錄頁面
- 13. asp.net登錄頁面
- 14. 自動解散登錄頁面登錄
- 15. Yii:無登錄頁面處理登錄
- 16. 登錄/登錄頁面引導php
- 17. 登錄時不顯示登錄頁面
- 18. 「保持登錄狀態」登錄頁面
- 19. Django的 - 登錄遠程登錄頁面
- 20. drupal上登錄頁面的頁面
- 21. Facebook登陸頁面 - 登錄頁面內的網頁
- 22. cakephp:登錄鏈接不會把我帶到登錄頁面,而是它帶我登錄我的登錄頁面
- 23. 使用Facebook登錄登錄無法在結帳登錄頁面上工作,但在登錄頁面上工作
- 24. Json登錄多個用戶登錄在一個登錄頁面
- 25. 登錄前登錄表單認證登錄頁面
- 26. Asp.Net Forms成功登錄後再次登錄登錄頁面
- 27. 登錄後請求頁面
- 28. ASP.NET登錄頁面樣式
- 29. 登錄頁面C#.SDF
- 30. 在asp.net登錄頁面
感謝您的信息 – user982119 2014-09-05 14:22:19