这是一个线上真实的事情,黑客已经攻破网站,并主动给我们上报了问题的根源以及解决方案还是不错的。1.前数据库
强烈推介IDEA2020.2破解激活,IntelliJ IDEA 注册码,2020.2 IDEA 激活码
这是一个线上真实的事情,黑客已经攻破网站,并主动给我们上报了问题的根源以及解决方案还是不错的。
1.前端网站某处存在用户评论输入,黑客再此输出跨站脚本,下面的是从数据库查出来的
2.后台管理人员如果浏览到这条数据就会触发这个js,这个js会跳转到真实的地址然后执行js这里只选择一部分
从中可以看出其实黑客就是让管理人员执行这段js然后发送其cookie到执行的服务器再存储起来,然后黑客就可以冒充管理人员
3.所以知道了这个流程防御其实不难,字符串转义等等。
