這是一個線上真實的事情，黑客已經(jīng)攻破網(wǎng)站，并主動給我們上報了問題的根源以及解決方案還是不錯的。

1.前端網(wǎng)站某處存在用戶評論輸入，黑客再此輸出跨站腳本，下面的是從數(shù)據(jù)庫查出來的

2.后臺管理人員如果瀏覽到這條數(shù)據(jù)就會觸發(fā)這個js，這個js會跳轉(zhuǎn)到真實的地址然后執(zhí)行js這里只選擇一部分

從中可以看出其實黑客就是讓管理人員執(zhí)行這段js然后發(fā)送其cookie到執(zhí)行的服務(wù)器再存儲起來，然后黑客就可以冒充管理人員

3.所以知道了這個流程防御其實不難，字符串轉(zhuǎn)義等等。

總結(jié)

以上是生活随笔為你收集整理的经历一次真实的XSS跨站攻击以及应付之策的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。