XSS 的 XMLHttpRequest?
XMLHttpRequest for XSS?
是否能够使用 XMLHttpRequest 作为 post 执行跨站点脚本?
例如,如果我在人们写作的地方进行聊天。
您通常无法执行以下脚本:<script>alert("test")</script>。
但是,您将能够编写一条普通消息,例如 "Hey!"。
那是因为网站过滤了 <script> 标签。
但是,如果我通过发送 XMLHttpRequest 来绕过过滤器,那么 post 数据将直接发送到服务器,而不是通过任何安全检查。我可以使用脚本标签并执行脚本吗?
如果需要,我可以在图片中提供直观的解释。
谢谢,保持真棒!很高兴得到任何答案。
只要服务器处理XMLHttpRequest,就可以实现XSS过滤
是否能够使用 XMLHttpRequest 作为 post 执行跨站点脚本? 例如,如果我在人们写作的地方进行聊天。
您通常无法执行以下脚本:<script>alert("test")</script>。
但是,您将能够编写一条普通消息,例如 "Hey!"。
那是因为网站过滤了 <script> 标签。
但是,如果我通过发送 XMLHttpRequest 来绕过过滤器,那么 post 数据将直接发送到服务器,而不是通过任何安全检查。我可以使用脚本标签并执行脚本吗?
如果需要,我可以在图片中提供直观的解释。 谢谢,保持真棒!很高兴得到任何答案。
只要服务器处理XMLHttpRequest,就可以实现XSS过滤