23.05.2020, 00:09
|
|
Новичок на форуме
|
|
Регистрация: 23.05.2020
Сообщений: 7
|
|
|
Возможности Javascript
1111111111
Последний раз редактировалось Karen989898, 23.05.2020 в 17:09.
|
|
23.05.2020, 08:27
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от Karen989898
|
|
ответ от сервера приходит, выводит сообщение что указал
|
Это нужно чтобы серверный язык мог бы выполнять JS. Хотя конечно же никакой сервер не станет выполнять у себя сценарии, которые ему навязывают извне. А вот чтобы сервер принял по URL такое, это должно быть параметром запроса, например форма отправляет такие данные. А далее уже зависит от сайта, его направленности. Например здесь форум, который рассматривает различные сценарии, но выполняться будут только те, что обрамлены ВВ-кодом и не на странице непосредственно, а в песочнице. В коде же вставленном непосредственно на странице во избежание XSS опасные символы будут заменены на html сущности следовательно на клиенте он выполняться не будет. Вот так размещена ваша строка кода на станице этой:
<script>alert(27213123123123)</script>
|
|
23.05.2020, 11:03
|
|
Новичок на форуме
|
|
Регистрация: 23.05.2020
Сообщений: 7
|
|
|
111111111
Последний раз редактировалось Karen989898, 23.05.2020 в 17:09.
|
|
23.05.2020, 12:11
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Вы как разработчик регулируете что сохранять на сервере присланное извне, а что нет. Можете вырезать запрещенное, можете нет, заменяя опасное на показанное выше. Конечно способов атак много и вопрос безопасности гораздо сложнее, рассказывать обо всем, это долго, так что "поиск по паутине" в помощь, читайте, изучайте.
|
|
23.05.2020, 12:40
|
 |
Профессор
|
|
Регистрация: 20.12.2009
Сообщений: 1,714
|
|
Karen989898, вы можете использовать заголовок Content-Security-Policy, чтобы указать, что загрузка скриптов и прочего должна происходить только с конкретного сервера, содержащего доверенный код или прочие ресурсы или не происходить вообще.
Также вам наверняка будет интересно узнать, что у элемента <iframe> есть атрибут sandbox.
|
|
23.05.2020, 13:09
|
|
Профессор
|
|
Регистрация: 04.12.2012
Сообщений: 3,726
|
|
|
laimas, Malleys, мне кажется автора интересуют возможные способы "применения" xss-атаки, а не способы защититься от нее.
|
|
23.05.2020, 13:27
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от Nexus
|
|
автора интересуют возможные способы "применения" xss-атаки, а не способы защититься от нее
|
Ну можно и такое предполагать, если "уязвимость имеется и можно с ней дальше работать", это желание ломать. |
|
23.05.2020, 15:41
|
|
Новичок на форуме
|
|
Регистрация: 23.05.2020
Сообщений: 7
|
|
|
111111111
Последний раз редактировалось Karen989898, 23.05.2020 в 17:09.
|
|
23.05.2020, 15:42
|
|
Новичок на форуме
|
|
Регистрация: 23.05.2020
Сообщений: 7
|
|
|
11111111
Последний раз редактировалось Karen989898, 23.05.2020 в 17:09.
|
|
23.05.2020, 15:46
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от Karen989898
|
|
да конкретно интересует попытки получения информации с сервера
|
Пытаетесь взломать? За это бьют по попе.  |
|
|
|
