web安全 - RESTFUL风格的URL存在XSS漏洞吗?
本文介绍了web安全 - RESTFUL风格的URL存在XSS漏洞吗?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
问 题
类似于http://weibo.com/apis/show_friends
这种HTTP API
风格的URL
,是否依然存在XSS
漏洞呢?
解决方案
XSS
漏洞出现的原因是你的数据操作API有没有可能被人无转义的注入可执行脚本,譬如:你有一个保存用户的API:
http://xxxx/api/saveuser
而如果我在调用这个api时,如果可以在用户信息里传入一段脚本,并且你的后端服务没有对其进行处理,譬如我给的用户信息是:
{
name: 'Hanmeimei',
introduction: '<script>alert('Hello World')</script>'
}
如果后端服务器无转义的直接把这段introduction
存到数据库里,而且取出时也没转义,那当前端把这个字段显示到页面时就可能直接弹出alert
。
所以是否存在XSS
注入风险,和是否restful
风格没有严格关系,关键在于设计/开发时是否考虑到了这个问题,并做了相应处理
这篇关于web安全 - RESTFUL风格的URL存在XSS漏洞吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文