我正在尝试跨站点脚本.我有一个网站,允许用户插入评论并在网站上查看.该网站虽然从评论中过滤了字符串"script"但它允许iframe.我知道我可以嵌入一个指向我制作的网站的iframe,我可以运行我想要的任何脚本.我的问题是:我的iframe脚本能否读取原始网站发起的cookie?我已经尝试过alert(document.cookie),但它显示的是一个没有任何内容的警报.当客户请求时,原始网站始终设置cookie.知道我错过了什么吗?
周围的页面都需要来自同一个域.这受到同源策略的限制,该策略指出一帧中的脚本只能访问另一帧中的数据,因为它们位于同一协议上,具有完全相同的域名并且在同一端口上运行.通过将document.domain设置为两个帧中的顶级域,可以略微放松,从而允许子域中的帧进行通信.
您可以尝试输入,但可能会在较新的浏览器中被阻止.
但是,限制脚本不足以阻止XSS.还有很多其他方法.见http://html5sec.org和http://ha.ckers.org/xss.html
京公网安备 11010802040832号 | 京ICP备19059560号-6 