各位前端注意浏览器地址栏也是一个输入框

352 天前
 liuqiongyu889

做前端的都知道不要相信每个输入框的内容,我真没想到浏览器地址栏也是一个输入框,然后就被搞了。 记录下整个过程:

没想到我也被黑产摆了一道

5283 次点击
所在节点    程序员
29 条回复
veike
352 天前
这种东西都多少年前的事了,利用高权重网站给自己打广告。
mohumohu
352 天前
我想起看过的一篇文章跟 OP 描述的有点像,简单来说就是构造带广告的 URL ,被搜索引擎爬了呗: [Wordpress 的搜索功能可能会被碰瓷]( https://blog.03k.org/post/wordpress-bad.html)
xiebruce
352 天前
不存在的链接直接显示 404 ,你在我博客随便输: https://www.xiebruce.top/tag/vim ,会发现,不存在链接就会显示 404 ,这样它输什么 tag 就与我无法了
geelaw
352 天前
用“输入框”的方式思考仅得其形,更好的理解是:一切来自于外界的输入都是脏的。
XEdge
351 天前
如图
busier
351 天前
http Request head 也是输入!不光 url 可以玩! user-agent 、accept-language 、referer 等等各种 head 都可以玩!
liuqiongyu889
351 天前
@oldshensheep 7 楼正解,不是 xss ,简单说就是如果 url params/path variables 没有经过后端检查就显示在页面上都有这个漏洞,攻击者不是为了嵌入 html 代码,而是嵌入简单文本,实现 SEO
cy18
351 天前
这跟前端有啥关系,要注意也应该是后端注意吧?
感觉应该说,后端应该认为所有输入都是脏的。
liuqiongyu889
348 天前
@cy18 显然你没看懂原理,这不是后端能解决的,也不是用 react/vue 过滤 xss 就能解决,是前端的一种安全漏洞

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/943427

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX