我不是最强大的JS用户,但我需要它,并为我的网页编写了一些在Apache和PHP上工作的代码。在我的ajax请求中,我有以下代码:
if (dataX['var1'] == '1.1' || dataX['var1'] == '2.1')
{
window.location.href = '<domain>'
}
如果我使用XSStrike来检查系统上的潜在漏洞,我会收到可能可以注入的消息。
有人可以帮我修复吗?我需要像冻结或其他东西来修复吗?抱歉,我不知道攻击者如何使用它。谢谢任何有用的帮助。祝好。
我尝试了什么?我尝试在那个频道上询问?!
测试。。
测试。。。
如果
或者只改变哈希的变化<domain>可以包含任意不受检查的字符串,那么如果攻击者之前成功保存了他们想要的任意字符串作为“domain”,他们将获得访问您页面范围的权限。在这种情况下,他们可以做的事情除了重定向到他们的服务器外,还是非常可疑的,因为由于页面更改,<domain>中的代码不会被执行。 我不确定一个位置如答