标签：xss 浏览器 dom javascript Cross https 服务器 Scripting

在聊xss之前先讨论下 同源策略核心安全

可以参考这个链接https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

作用：可以阻止第三方的写入或读取信息 xss就在其中访问之内 打个比方最简单的pyload在谷歌是不会生效的

谷歌的浏览器就采用了同源策略所以有的时候不是无效和环境也有关系<script>alert(1)<script>

 

这个协议本质上检查主机和源中三个不同东西 Protocal Host Port 只有当三个源都相同的时候浏览器才允许跨源读取或写入

 

 

 同源策略会查看协议是否相同 http or https 然后再会看地址 最后是端口 这个策略可以保证基本的网络安全

java script 可以通过Dom API 访问html文档  文档由浏览器提供 

这意味着我们可以操纵dom 也可以窃取一些有问题的csrf令牌........ 或读取一些cookie 

我们可以将一些javascript注入到其他网站上  

example

 

 

 当你点击一个提交后会像http服务发送这样的请求

 

 

 

输入的名pwn用get参数发送到服务器上去 服务器处理完请求后返回一个响应值 hello pwn

服务器知道它响应发送出去的数据但是在没有额外信息情况下它不知道我们发送的输入是会被响应反射 

被进一步处理发送在屏幕上

再试一次把输入的内容换成一个payload <script>alert(1)</script> 然后弹窗1

没有如何过滤 在浏览器眼中会把它当成一个html并执行它 这种情况就被称为xss 刚刚这种情况就叫

反射型xss输入在响应中被反射回来并被识别为一个脚本块然后执行

存储型xss 打出去的javascript代码被存储起来放到服务器中和数据库里面 形成持久化攻击每一个人被访问的人都会被攻击 属于高危...

 

 

 　　存储型xss：可能存在的地方 留言板  评论区 任何可以写入数据的地方都可以 

        dom型xss：修改客户端浏览器的dom环境执行脚本

参考:https://owasp.org/www-community/attacks/DOM_Based_XSS

解决方案 使用dompurify它会清理javascript代码 只留下安全的出去

xss挑战：xss.pwnfunation.com 目前在更新

 

标签：xss,浏览器,dom,javascript,Cross,https,服务器,Scripting
来源： https://www.cnblogs.com/fiyblue/p/15717252.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。