我目前正在尝试研究并研究使用“存储的 XSS”来操纵网站 javascript 文件的可能性。
举个例子,如果一个网站加载了名为“infinite-scroll.js”的脚本,并且假设它容易受到 XSS 攻击,是否可以将我自己的代码添加到“infinite-scoll.js” ' 使用 XSS?然后将其存储到 Web 服务器,以便将来访问该网站的任何人也能看到带有我修改过的代码的脚本?
干杯:)
最佳答案
没有。
XSS 漏洞是服务器获取用户输入然后在没有适当转义的情况下再次输出,导致网站设计者希望被视为文本的内容被视为可执行 JavaScript。
存储漏洞是指将输入保存到服务器并稍后输出的漏洞。例如,评论系统可能会询问您的姓名,您可以将其命名为 <script>alert('XSS');</script>
。 ,然后该 JavaScript 将在稍后查看该评论的任何人的浏览器中运行。
虽然可能存在允许攻击者用自己的版本覆盖静态 JavaScript 文件的漏洞,但它通常不会被归类为 XSS。
关于javascript - 使用 XSS 改变服务器端已经存在的 javascript 文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53486921/