這是一個(gè)線上真實(shí)的事情，黑客已經(jīng)攻破網(wǎng)站，并主動(dòng)給我們上報(bào)了問(wèn)題的根源以及解決方案還是不錯(cuò)的。

1.前端網(wǎng)站某處存在用戶(hù)評(píng)論輸入，黑客再此輸出跨站腳本，下面的是從數(shù)據(jù)庫(kù)查出來(lái)的

2.后臺(tái)管理人員如果瀏覽到這條數(shù)據(jù)就會(huì)觸發(fā)這個(gè)js，這個(gè)js會(huì)跳轉(zhuǎn)到真實(shí)的地址然后執(zhí)行js這里只選擇一部分

從中可以看出其實(shí)黑客就是讓管理人員執(zhí)行這段js然后發(fā)送其cookie到執(zhí)行的服務(wù)器再存儲(chǔ)起來(lái)，然后黑客就可以冒充管理人員

3.所以知道了這個(gè)流程防御其實(shí)不難，字符串轉(zhuǎn)義等等。

總結(jié)

以上是生活随笔為你收集整理的经历一次真实的XSS跨站攻击以及应付之策的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。