XSS攻击如何真正起作用？

因此,防止网站受到XSS攻击非常简单,你只需要使用htmlspecialchars功能就可以了.
但如果开发人员忘记使用它,攻击者/黑客可以做些什么呢？他可以得到你的session_id,对吗？这是一个问题.他能做些什么呢？
非常感谢你.

因此,防止网站受到XSS攻击很简单,你只需要使用htmlspecialchars功能就可以了.

对.当您要重新显示用户控制的输入时,可以在任何地方使用它.这涉及HTTP请求的所有部分:标题,正文和参数.

但如果开发人员忘记使用它,攻击者/黑客可以做些什么呢？

他/她可以插入一些恶意HTML /脚本.例如,以下是网页上的一些消息/评论:

以上将从mailicious域请求图像以及文档cookie作为查询字符串.

他可以得到你的session_id,对吗？这是一个问题.他能做些什么呢？

会话ID存储在cookie中.一旦黑客被告知已经使用查询字符串中的cookie请求了图像,他/她所要做的就是编辑浏览器的cookie以包含相同的会话ID以便以原始用户身份登录.如果原始用户是站点管理员,这显然是非常危险的.

这是我遇到过的最好的XSS扩展:Flash动画示例

这是第二个视频