url-shortening 能防止 XSS 攻击吗?
Does url-shortening prevent XSS attack?
由于 document.cookie
获取了当前网页的 cookie,如果我将我的 XSS payload 放在 URL 缩短的网站中,它不会起作用,对吗?
我的意思是它将获取那个 URL 缩短网站的 cookie,而不是目标。这样对吗?
我并不是说 URL 缩短器是故意这样做的,我的意思是它是使用短 url 的副作用吗?
这取决于您的短片 url 的运作方式。如果你的短 url 传球得到
参数,您的站点仍然受到 XSS 攻击。
通常 XSS 攻击从 url 参数注入。特别是如果您在没有任何字符串转义的情况下加载参数并执行 html 或 运行 in javascript.
URL 缩短器通常只会将您的请求重定向到不同的服务器,他们不会代理该请求。 URL 缩短器的想法是保留完整的 URL 并使其更短。
所以它不会阻止 XSS 攻击(至少不是大多数 XSS 攻击类型)
由于 document.cookie
获取了当前网页的 cookie,如果我将我的 XSS payload 放在 URL 缩短的网站中,它不会起作用,对吗?
我的意思是它将获取那个 URL 缩短网站的 cookie,而不是目标。这样对吗?
我并不是说 URL 缩短器是故意这样做的,我的意思是它是使用短 url 的副作用吗?
这取决于您的短片 url 的运作方式。如果你的短 url 传球得到 参数,您的站点仍然受到 XSS 攻击。
通常 XSS 攻击从 url 参数注入。特别是如果您在没有任何字符串转义的情况下加载参数并执行 html 或 运行 in javascript.
URL 缩短器通常只会将您的请求重定向到不同的服务器,他们不会代理该请求。 URL 缩短器的想法是保留完整的 URL 并使其更短。
所以它不会阻止 XSS 攻击(至少不是大多数 XSS 攻击类型)