< 漏洞 存在的产品对象> 百度知道 <危害> 百度知道存在反射型XSS,可以做诱惑点击导致蠕虫。 <重现方法> http://zhidao.baidu测试数据/utask/qb/info?callback=<script>alert(/xss by cc/)</script> HdhCmsTest2cto测试数据 <修复建议> 1.加强过滤。 2.JSON接口存在风险: JSON接口需要设置Content-Type 添加:header('Content-type: application/json'); 这样即使JSON接口存在跨站漏洞,攻击者也难以利用。 作者 insight-labs
查看更多关于百度知道存在反射型XSS - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13081