Возможно ли использовать XSS для чтения защищенного контента

Question

Я прочитал все о том, как использовать маркеры, чтобы злоумышленники не отправляли вредоносный контент на сайт с помощью XSS. Мой вопрос заключается в получении защищенного контента с сайта.

Например, у нас есть сайт электронной торговли с моей учетной записью, на котором мы указываем все предыдущие заказы пользователя, возможно ли, что злоумышленник может заманить пользователя на сторонний сайт, а затем запустить сценарий или что-то сделать быть пользователем и получать информацию от нас?

Answer 1

Особая благодарность LachlanB за добавление дополнительной информации. После дальнейших исследований кажется, что мне не нужно беспокоиться об этом очень конкретном случае из-за той же политики происхождения, что и самые современные браузеры.

«В политике вычислений политика одного и того же происхождения является важной концепцией безопасности для ряда языков программирования на стороне браузера, таких как JavaScript. Политикой разрешены сценарии, выполняемые на страницах, происходящих из одного и того же сайта, - комбинация схемы, имя хоста и номер порта [1] - для доступа к методам и свойствам друг друга без каких-либо конкретных ограничений, но препятствует доступу к большинству методов и свойств между страницами на разных сайтах. [1] Политика одинакового происхождения также применяется к XMLHttpRequest и к роботам. TXT. [2]»Википедия

http://en.wikipedia.org/wiki/Same-origin_policy

Answer 2

Да, это возможно. Если кто-то может ввести код javascript на вашу страницу, используя ошибку XSS на вашем сайте, они могут написать код для получения всей информации пользователя. Или, если кто-то заходит в вашу сеть (или в сеть пользователя), они могут захватить cookie сеанса пользователя.

Если вы находитесь на территории .NET, ознакомьтесь с Html.AntiForgeryToken(), чтобы защитить себя и использовать HTTPS для всего.