跨站脚本攻击和同源策略

Question

我熟悉持久性和非持久性XSS。 我也知道Same origin policy 可以防止/限制源自一个网站页面的请求转到另一个网站服务器。这让我觉得同源策略至少可以阻止非持久类型的 XSS 攻击（因为在持久类型的攻击中，恶意代码的来源将与被盗的私人信息相同）。 我的理解正确吗？可以使用 SOP 来阻止/减少这些攻击吗？

编辑：好的，我在浏览器端的 2 个脚本之间调用方法和在另一个网站上调用诸如 HTTP POST 之类的方法之间感到困惑。谢谢jakber的回答。

现在我还有一个问题，SOP 不能阻止Cross-site request forgery 吗？ 维基百科中给出的示例谈到 Bob 访问了由 Mallory 在聊天论坛上创建的恶意图像标签。但是，根据 SOP 规则，恶意脚本不应该能够访问银行的 cookie。我在这里遗漏了什么吗？

Answer 1

通常不会。

非持久性或反射型 XSS 攻击利用在没有适当清理的情况下作为页面内容回显的输入，而不是持久化它。在这两种情况下，注入的脚本似乎都来自被利用的域。

例如，如果您在 PHP 中执行此操作：echo $_GET['param'] 并将指向该页面的链接发送给包含以下内容的人 ?param=<script>alert('got you!');</script> 这是一种非持久性XSS攻击，与同源策略无关。

同源意味着你不能直接注入脚本或修改其他域的DOM：这就是为什么你需要找到一个XSS漏洞开始。

Answer 2

SOP 通常不能阻止 XSS 或 CSRF。

对于 XSS，jakber 的回答已经提供了很好的解释。我只想补充一点，称此漏洞为“跨站点”的原因是攻击者可以将代码（例如<script src="...">）注入目标页面，从另一个网站加载恶意javascript，这通常由攻击者控制。 SOP 不会拒绝从其他网站加载 Javascript，因为这样做会破坏 Web。

对于 CSRF，大多数情况下 SOP 无法阻止它，因为 SOP 不会阻止网站 A 向网站 B 发送 GET 和 POST 请求。