应用上出现了xss漏洞。是由一个get请求的ajax接口返回的一个字段中有xss漏洞引起的。该字段本来是要展示出来的,但是补丁版的时候去掉了这块的展示,接口还是返回的。现在引发了xss漏洞,有些同事是不太理解的,为什么我返回的这个字段都没有展示,还会引起xss漏洞呢?
其实我是理解他的意思的,返回的字段没有用,就没有放进页面中(不会与页面中的标签引起xss漏洞),并没有执行(真的没有执行吗?),为什么会出现呢?
我当时的理解是,虽然没有放进页面中,但是浏览器还是会对接口的返回数据做一些处理的。进一步查了资料,如果content-type是 text/html,那么返回数据肯定是要被执行的,针对jsonp,如果content-type是 application/javascript 浏览器就不会去执行。那么我的猜测有可能是对的,就是说浏览器会对数据进行一些处理,根据的是content-type,或者还有其他一些字段。我查看了我们那个接口的http请求字段,content-type是application/json 类型。
这里,对于xss的类型不够了解。还有对于ajax请求了解的还不够深入。这块近期我要了解一下,在此把我的这些想法记录下来。
后记:以前总是在想,为什么要做分享呢, 为什么要做笔记呢,有什么好分享的?大家看完一个资料不就都明白了吗?
今天才明白,对于同一个问题,大家的理解程度是不一样的。而且一个问题要想彻底明白,需要深入的学习和实践,这个不是每个人都会去做的。
所以就需要分享,需要做笔记。
2016,加油!