Одно я видел много, что получает разработанный в качестве признака и не рассматривается как дыра в безопасности до тех пор, пока не будет слишком поздно, являются изменяющие состояние запросы GET. Они могут легко привести к cross-site request forgery. Например, у вашего приложения может быть ссылка на http://mysite.com/logout, которая регистрирует пользователей. Но сайт третьей стороны может добавить такой код:
<!-- on evil.com site -->
<img src="http://mysite.com/logout">
Затем, когда пользователь загружает страницу на evil.com, они вышли из mysite.com!
Худшие проблемы возникают, когда сайты реализуют API с использованием изменяющих состояние запросов GET. Например, если я запустил сайт социальной сети с URL-адресами, такими как site.com/addfriend, site.com/sendmessage и т. Д., И я дал эти URL-адреса разработчикам, которые собирались создавать приложения для моего сайта, разработчикам пришлось бы при обнаружении уязвимости безопасности следует обратиться к изменению API.
Что такое XSS для PHP? –
Если они «неизвестны», то они, вероятно, не «обычны», и никто не сможет рассказать вам о вещах, о которых они никогда не слышали. –
@Anon: выход с выхода не может привести к XSS ... Вот что я имел в виду. @NSD: Возможно, вы правы, но я хотел рискнуть;) Может быть, кто-то ходит сюда, кто обнаружил что-то интересное и т. Д. – Franz