我正在阅读这篇文章
http://msdn.microsoft.com/en-us/magazine/hh708755.aspx
与保护Asp.net应用程序有关,但有一件事我无法理解,比如我浏览urlhttp://www.abc.com/XSS.aspx?test=ok如果我把它换成http://www.abc.com/XSS.aspx?test=alert(含)。。。网站如何不安全或被黑客入侵?我想说的是,它没有影响或影响网站?
我上面提到的例子,在许多讨论安全性的地方都提到了,但不理解
想象一下,如果你要在你的html页面上输出"test"的值(而不是为了html的使用而正确地转义它),那么你可能会在你的页面上注入任何javascript!!一些可能的漏洞可能是将背景更改为淫秽内容,甚至将您的页面重定向到一些诈骗网站。。实际上使你成为某种欺诈的帮凶!!
存储或使用用户提交的信息时,请始终使用正确的ESCAPING
编辑:我所说的转义会很有用,这样人们就不会在你的数据库中注入html或JS。这最终会导致每个用户在他们的页面上获得注入的HTML/JS(如果注入的变量对每个人都相同)。。不仅仅是注射它的用户!!