【问题标题】:Does url-shortening prevent XSS attack?url-shortening 是否可以防止 XSS 攻击?
【发布时间】:2019-12-11 16:14:54
【问题描述】:
由于document.cookie 获取当前网页cookie,如果我将我的XSS payload 放入URL 缩短网站,它不会起作用,对吧?
我的意思是它会获取该 URL 缩短器网站的 cookie,而不是目标。是这样吗?
我并不是说 URL 缩短器是故意这样做的,我的意思是它是使用短 url 的副作用吗?
【问题讨论】:
标签:
javascript
xss
short-url
【解决方案1】:
URL 缩短器通常只会将您的请求重定向到不同的服务器,它们不会代理该请求。 URL 缩短器的想法是保留完整的 URL 并使其更短的别名。
所以它不会阻止 XSS 攻击(至少不是大多数 XSS 攻击类型)
【解决方案2】:
这取决于您的短网址的工作方式。如果你的短网址传递得到
参数,您的网站仍然受到 XSS 攻击。
通常 XSS 攻击从 url 参数注入。特别是如果您在没有任何字符串转义的情况下加载参数并执行到 html 或在 javascript 中运行。