SO でのクロスサイト スクリプティングに関して多くの質問があることを理解しており、最も投票されたものを読み込もうとしました。いくつかの Web ページも読んだことがありますが、この攻撃の種類が使用できるすべての可能性についてまだ確信が持てません。入力をサニタイズする方法を尋ねるのではなく、何が期待できるかを尋ねます。
SO および他のページに示されているほとんどの例には 2 つの方法があり、最も単純な方法 (たとえば、これは PHPMaster のもの<script>
)は、Cookie を盗むために使用されるコードを挿入することです。
ここでユーザー Babaが提示したもう 1 つの方法は、完全なコード構造を挿入する<form>
ことですが、ユーザーがフォームを送信するまでは機能しないようですが、JavaScript イベントのようなもの... onmouseover='form.submit()'...
が使用される可能性があります。
私が確認できたすべてのネットワークの例は、JavaScript コードを使用した方法にすぎません。
他の方法を使用することは可能ですか。たとえば、何らかの方法で HTML を変更したり、サーバー側のスクリプトを変更したりすることはできますか?
SQL インジェクションまたはサーバーのハッキングによってこれを取得できることは知っていますが、GET、POST リクエスト、またはその他のリクエストを操作する (誤って処理する) ことによってのみ意味しますか?