Ceci [~ # ~] owasp [~ # ~ ~] Article mentionné que "Utilisation de la validation des données, seules les XSS réfléchies ne peuvent être détectées et évitées, persistantes XSS ne peuvent pas être détectées, des XSS basés sur DOM ne peuvent être limités degré si une partie de l'attaque est envoyée dans des paramètres de la demande. " Pourquoi est-ce tellement?
Je comprends une fois que le script malveillant est stocké dans l'application, maintenant toute demande d'obtention/poste ne ressemblera pas à des méchants, mais le script sera exécuté à la victime. Cependant, pour mener à bien un XSS persistant, un attaquant doit envoyer une requête à la recherche malveillante au serveur qui doit être détectée par la machine à main et doit donc être arrêtée pour être exécutée.
Je pense que le point n'est pas formulé idéalement, car un appareil artisanal peut en effet attraper des attaques XSS persistantes.
Mais il y a au moins deux problèmes:
');alert('1
est une entrée sûre ou non (ou la manière dont l'entrée est traitée et si elle est sécurisée via le codage).