Web应用安全：XSS漏洞分析与防范策略.pdfVIP

XSS

描述：

跨站点（XSS）是针对其他用户的重量级。从某种程度上说，XSS是在Web应用

程序中发现的最为普遍的，困扰着现在绝大多数的应用程序，包括因特网上一些最

为注重安全的应用程序，如电子使用的应用程序。

如果一个应用程序使用动态页面向用户显示错误消息，就会造成一种常见的XSS。

通常，该页面会使用一个包含消息文本的参数，并在响应中将这个文本返回给用户。对

于开发者而言，使用这种机制非常方便，因为它允许他们从应用程序中调用一个定制的

错误页面，而不需要对错误页面中的消息分别进行硬编码。

下面的URL将返回错误消息：

/error.php?message=Sorry%2c+an+error+occurred

分析被返回页面的HTML源代码后，我们发现，应用程序只是简单URL中message

参数的值，并将这个值到位于适当位置的错误页面模板中：

pSorry,anerroroccurred./p

提取用户提交的输入并将其