1. 首頁
  2. 問答
  3. Javascript能以某種方式窺探我的網站嗎?

Javascript能以某種方式窺探我的網站嗎?

2012-09-23 32 views
-1

如果我是惡意的(或者惡意且不小心),我可以將一些PHP添加到我正在工作的網站(或正在構建的後端Web應用程序),這些網站可以發送一些我無權訪問的數據服務器。有很多方法可以實現這一點。Javascript能以某種方式窺探我的網站嗎?

我想知道:Javascript能做類似的事嗎

例如,是否有可能通過使用一些html/css/javascript網頁模板來窺探,這些模板將披露來自我的網站的信息 - 從我的網站/ web應用程序發送任何類型的信息給惡意的遠程服務器開發者?

在此先感謝。

來源

2012-09-23 Miloš Đakonović

+2

是的 - 這是可能的。網站分析,就像谷歌分析一樣。 – piatek

+1

使用JavaScript,第三方可以竊取您的會話cookie,以用戶或管理員身份登錄,並獲得對您網站的控制權。 – mpm

+0

@camus:但是,有'HTTP-only' Cookie無法被javascript讀取 – Bergi

回答

1

是的,當然你可以使用javascript發送數據到其他服務器。與您的PHP代碼片段方法的不同之處僅在於它在用戶對應用程序的看法下在客戶端執行。所以,你只能泄漏當前用戶所知道的數據,而且你只能用當前用戶的權限(和他的憑證)妥協應用程序。

但是,檢測JavaScript注入(它也可能發生在客戶端或傳輸過程中)比惡意的PHP代碼片段更加困難。

來源

2012-09-23 11:24:18 Bergi

+0

謝謝Bergi。並且是否意味着某些網頁上的Javascript可以在客戶端執行時向開發者報告有關存在於請求/客戶端IP上的URL的信息? –

+1

是的。谷歌「XSS注入」 - 一種攻擊場景,每個允許任何用戶生成數據的Web應用程序開發者都應該知道。 – Philipp

+0

呃,只是用URL和客戶端IP報告自己,是通過例如大規模的完成的。 [Google的CDN](https://developers.google.com/speed/libraries/)和任何其他外部腳本包含... – Bergi

相關問題

 相關問題