XSS攻击构造请求

2018/04/30

XSS攻击构造请求

当页面被植入恶意代码时,攻击者可以干很多事。

假如要删除一篇博客,正常的get请求可能为:www.example.com/delete?id=xxxx。

那么攻击者 可以使用img标签来发起这个get请求,从而在用户不知情的情况下删除一篇文章。

那么是不是把删除等这样敏感的操作放在post请求里就安全了?未必。

xmlhttprequest可以发起一个post请求。

Post Directory