XSS 在现代浏览器中仍然可行答案

【问题标题】：XSS still possible in modern browsersXSS 在现代浏览器中仍然可行
【发布时间】：2014-11-03 07:16:41
【问题描述】：

我很好奇，今天 XSS 是否仍然可行。我读了很多关于阻止它的浏览器，但我似乎错过了一些东西。

我自己尝试了几种方法，包括最简单的方法，AJAX 调用（幸运的是被浏览器阻止）和查看 <iframe> 和 <frameset> 的内容，但都没有成功。

我阅读了有关 DOM XSS 的信息，但这只有在主机有一个页面可以回显来自 URL 参数的内容时才有效。

问题：

现代浏览器是否安全，或者有什么理由让我在离开页面之前退出我使用的每项服务？

【问题讨论】：

【解决方案1】：

今天 XSS 是否仍然可行。

是的。

只有在主机有一个页面可以回显来自 URL 参数的内容时才会起作用。

当任何用户输入被输出时（立即（对于反射攻击）或稍后，可能给不同的人（对于存储攻击）），XSS 都是可能的。这就是 XSS。

同源策略（以及防止访问不同源内容的相关安全功能）与 XSS 无关。

现代浏览器安全吗

XSS 是服务器提供的代码中的一个漏洞，它接受用户输入并对其进行处理。无法判断用户输入是 XSS 攻击还是合法提交的包含实时代码的数据。它必须由服务器提供的代码处理，因为输入必须具有上下文敏感性。

【讨论】：

最后的说法不正确。 DOM XSS 发生在客户端上，而无需接触服务器。 JavaScript 框架，例如 AngularJS 确实执行client data sanitization，显然是在客户端，因此会阻止 XSS。此外，大多数现代浏览器确实有一个通用的侧 XSS 过滤器，它试图减轻反射 XSS 的简单形式，这是另一种客户端防御。