Я прочитал все о том, как использовать маркеры, чтобы злоумышленники не отправляли вредоносный контент на сайт с помощью XSS. Мой вопрос заключается в получении защищенного контента с сайта.Возможно ли использовать XSS для чтения защищенного контента
Например, у нас есть сайт электронной торговли с моей учетной записью, на котором мы указываем все предыдущие заказы пользователя, возможно ли, что злоумышленник может заманить пользователя на сторонний сайт, а затем запустить сценарий или что-то сделать быть пользователем и получать информацию от нас?
привет LachlanB, это при условии, что злоумышленник может каким-то образом внедрить вредоносный код на мой сайт ри GHT? Как насчет случая, когда злоумышленник заманивает пользователя на сторонний сайт, который заражен вредоносным кодом, который затем из браузера пользователя отправляет запросы на наш сайт для извлечения данных. Поскольку запрос на страницу учетной записи пользователя обычно является запросом GET, маркер csrf не проверяется. – mr1031011
Да, это правильно. Обычно страницы, обслуживающие данные пользователя (например, страница учетной записи), защищены за сеансом, который предоставляется только пользователю, если у них есть определенный файл cookie. Сначала прочитайте сеансы и файлы cookie, чтобы получить общее представление о том, что происходит. – Rocklan
Да У меня уже есть сеанс, чтобы защитить его, но задался вопросом об использовании XSS для чтения содержимого у уполномоченного лица на стороннем сайте. Во всяком случае, похоже, что из-за политики одного и того же происхождения это кажется невозможным, 1 меньше о чем беспокоиться. – mr1031011