Злоумышленник ничего не может получить, используя методы межсайтового скриптинга на себе. Целью межсайтового скриптинга является злонамеренное манипулирование элементами страницы, отображаемыми пользователю, будь то фишинг или чтение файла cookie. Другими словами, атака может затрагивать только объекты на стороне клиента.
Однако важно помнить, что означает фраза «пользователь всегда просматривает только свои собственные данные».
Предположим, у меня есть веб-сайт, на котором пользователи могут иметь личный профиль, доступный только им самим. На странице есть элемент ввода текста, который позволяет пользователям вводить URL-адрес своего веб-сайта. Теперь предположим, что форма для обновления профиля пользователя использует GET.
Отправка обновления страницы может выглядеть так:
http://www.example.com/privateprofile.pl?action=update&userwebpage=http://www.example.net
Злоумышленник может воспользоваться этим, обманом заставив пользователя загрузить URL-адрес:
http://www.example.com/privateprofile.pl?action=update&userwebpage=[malicious_js_code_here]
Конечно, это довольно тривиальный пример, но, надеюсь, он демонстрирует общую концепцию. Проблема заключается в том, что существует вероятность того, что они могут обманом заставить пользователя войти в XSS самостоятельно. Конечно, жизнеспособность подобной XSS-атаки зависит от вашей конкретной реализации.
person
Jared Ng
schedule
22.04.2012
htmlspecialchars()
при размещении переменных данных в HTML, иначе вы, вероятно, получите сломанный HTML, помимо других проблем. - person Brad   schedule 22.04.2012