XSS攻击构造请求
当页面被植入恶意代码时,攻击者可以干很多事。
假如要删除一篇博客,正常的get请求可能为:www.example.com/delete?id=xxxx。
那么攻击者 可以使用img标签来发起这个get请求,从而在用户不知情的情况下删除一篇文章。
那么是不是把删除等这样敏感的操作放在post请求里就安全了?未必。
xmlhttprequest可以发起一个post请求。
XSS攻击构造请求
当页面被植入恶意代码时,攻击者可以干很多事。
假如要删除一篇博客,正常的get请求可能为:www.example.com/delete?id=xxxx。
那么攻击者 可以使用img标签来发起这个get请求,从而在用户不知情的情况下删除一篇文章。
那么是不是把删除等这样敏感的操作放在post请求里就安全了?未必。
xmlhttprequest可以发起一个post请求。