好久不发文章,我表示…我还活着。
只不过最近在写Git-books,所以忽略了我的这个博客。这两天在看Web安全相关的东西,觉得确实有意思。
XSS跨站脚本攻击
XSS 意为跨站脚本攻击(Cross Site Scripting),缩写应该是CSS,但是已经有了一个层叠样式表(Cascading Style Sheets),所以就叫它XSS了。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的,最常见的就是拿到攻击者的 Cookie 然后就可以登录别人的账号了。
清单 1. 存在 DOM based XSS 的 HTML 代码
<HTML>
<TITLE>Welcome!</TITLE>
Hi
<SCRIPT>
var pos=document.URL.indexOf("name=")+5;
document.