HTML注入是一种注入错误,当攻击者能够将任意HTML代码注入到易受攻击的(未过滤的输入)网页中时。这个问题可以有很多结果,例如披露受害者的会话cookie,或者可以使攻击者能够更改许多用户看到的页面内容。
这是一个基本的安全问题,其中数据(比如电子邮件地址或地址或名字的信息)和代码(构建网页,例如创建<script>元素)以不必要的的方式混在一起。
XSS攻击重写网页内容或在用户的Web浏览器内执行任意JavaScript。当网站从用户 - 电子邮件地址,用户ID,对博客文章的评论,状态消息等获取某些数据(具有HTML或JS代码的文本)时,会发生这种情况,并将此数据显示在一个网页。如果网站没有过滤用户输入,则可以通过精心制作的字符串更改HTML文档的含义。
此漏洞与跨站脚本(XSS)类似。攻击者发现一个注入漏洞,并确定使用该漏洞攻击一些受害者。攻击者将制作恶意链接,包括他注入的HTML代码,并将恶意链接发送给受害者。
面对以后的网络时代,人人都是IP,我希望广大网民可以提高自己的网络安全意识!
Night 成员申请 - 知乎专栏