我无法理解存储的xss和反射的xss之间的区别是什么。你能用一个例子告诉我吗?存储的xss和反映的xss有什么区别?
2
A
回答
1
存储的XSS意味着某些持续存在数据(通常存储在数据库中)未在页面中进行消毒,这意味着每个人都可能受到漏洞的影响。例如,设想一个用户发布的答案不会被转义的论坛。如果某人发布了带有一些HTML的主题,那么转到主题页面的每个人都将受到影响!风险通常可能很重要,因为它会影响所有用户并可能迅速普及(典型示例是Myspace XSS worm,这在20小时内影响了100万用户)。
相反,反映的XSS意味着非永久性数据(通常是客户通过表单提交提供的数据)不会被转义。例如,想象一下,在搜索引擎中,在结果列表页面中,您的搜索关键字会重新显示(并且未被清理)。然后你可以把html放在你的研究上,它会被执行。虽然此漏洞的风险不太明显,但由于它只影响进行注入的用户,所以也可能是一个问题。例如,如果一个恶意用户发送了一个链接并将其注入受害者,并且受害者点击该链接。
1
1
随着系统
存储XSS业务影响观点一直持续到系统中,因此是别人谁来得快,读取存储内容可见。例如,如果我在wikipedia中编辑页面并注入一些javascript代码,那么所有新访问者都可以看到它。
另一方面反映XSS就像我输入一些代码,这反映了我一个人。这个漏洞通常不会被其他人看到,但是这种漏洞可以被黑客用于点击劫持。假设搜索结果页面的url参数可以转换为代码脚本。这个网址可以通过电子邮件发送给用户,他们会点击它来查看我们的商业网站上执行的恶意代码。虽然在我们的网站上没有这样的代码,但缺乏输入验证会导致这些网站在我们的网站上显示恶意内容,就好像它在那里一样,企业主将失去他们的品牌声誉。
相关问题
- 1. xss clean和全局xss过滤的区别
- 2. 持久性XSS和存储XSS是EXACLY是否一样?
- 3. 为什么要逃避和避免XSS
- 4. setAttribute()和XSS
- 5. .setinterval和XSS
- 6. PHP json_encode和XSS
- 7. PHP_SELF和XSS
- 8. LocalStorage和Xss
- 9. 浏览器的X-XSS-Protection/XSS Auditor是否足以防止XSS?
- 10. <%: %> vs Microsoft反XSS库
- 11. 什么是更安全的,mysql反sqli + xss解决方案
- 12. 什么是偷用XSS的POST请求
- 13. 为什么我的XMLHttpRequest不允许XSS?
- 14. 绕过asp .net“validaterequest”存储xss攻击
- 15. ASP.Net是否有任何反XSS库?
- 16. 段,卷和分区有什么区别?(在存储域中)
- 17. IntelliJ's Shelve和Git存储区有什么区别?
- 18. 防止日期格式中反映的XSS
- 19. 如何解决在java中反映的XSS
- 20. 储蓄有什么区别?
- 21. jsbin.com上的XSS
- 22. 即使XSS数据未被存储,XSS也会成为攻击媒介?
- 23. 提取的数据和XSS
- 24. XSS和CSRF改进
- 25. XSS和Meta标签
- 26. Autobean和XSS问题
- 27. ASP.net中的反XSS支持Vs AntiXss Lib
- 28. DMA和内存映射IO之间有什么区别?
- 29. 写入文件和映射内存之间有什么区别?
- 30. 是什么存储“存储变量所需的内存”的变量和要求的规格有什么区别?
你对[tag:git]标签有什么意义? git里面应该没有xss – Ferrybig
[this](https://www.owasp.org/index.php/Testing_for_Reflected_Cross_site_scripting_(OTG-INPVAL-001))有帮助吗? – kostix