2016-02-03 xss漏洞

Posted 2020-06-13

　　应用上出现了xss漏洞。是由一个get请求的ajax接口返回的一个字段中有xss漏洞引起的。该字段本来是要展示出来的，但是补丁版的时候去掉了这块的展示，接口还是返回的。现在引发了xss漏洞，有些同事是不太理解的，为什么我返回的这个字段都没有展示，还会引起xss漏洞呢？ 

　　其实我是理解他的意思的，返回的字段没有用，就没有放进页面中（不会与页面中的标签引起xss漏洞），并没有执行（真的没有执行吗？），为什么会出现呢？

　　我当时的理解是，虽然没有放进页面中，但是浏览器还是会对接口的返回数据做一些处理的。进一步查了资料，如果content-type是 text/html，那么返回数据肯定是要被执行的，针对jsonp，如果content-type是 application/javascript 浏览器就不会去执行。那么我的猜测有可能是对的，就是说浏览器会对数据进行一些处理，根据的是content-type，或者还有其他一些字段。我查看了我们那个接口的http请求字段，content-type是application/json 类型。

　　这里，对于xss的类型不够了解。还有对于ajax请求了解的还不够深入。这块近期我要了解一下，在此把我的这些想法记录下来。

　　

　　后记：以前总是在想，为什么要做分享呢， 为什么要做笔记呢，有什么好分享的？大家看完一个资料不就都明白了吗？

　　　　  今天才明白，对于同一个问题，大家的理解程度是不一样的。而且一个问题要想彻底明白，需要深入的学习和实践，这个不是每个人都会去做的。

　　　　  所以就需要分享，需要做笔记。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2016，加油！