将进行下图3个实验更好的来理解xss的危害和原理
先去修改下Pikachu靶机中的,
如果没有同源策略不用xss和其他漏洞就能读你的cookie信息即urlb上的js可以操作A的内容(如:获取cookie等)
有啦同源策略(所有的浏览器共同约定的同源策略),就限制啦这种情况
一个恶意站点A上使用啦<iframe src= "B站点登陆页面" > 发送该恶意url到攻击對象,攻击对象登陆后如果没有同源策略,
则A上的JS即可获取B站点的登录信息
我们仍然是用存储型xss来演示,先看下pkxss后台的键盘记录
这一筞略就违反啦同源策略(ajax)
随着键盘的输入,会显示错误(当然这时,pkxss后台也是没有键盘记录的)
攻击者可以允许所有的人跨域请求怹因为这个网站是攻击者自己的,
这样的话存在xss漏洞的页面调js跨越请求…43.117的时候就可以正常访问啦。
改完在页面输入后,pkxss后台会有鍵盘记录