为什么来自其他人的脚本会损害你的网站及其访问者

如果你认为恶意脚本不会损害你的网站,那就错了。以下列出了恶意脚本可以执行的操作:

  1. 从 DOM 中删除自己,以便无法跟踪它
  2. 窃取用户的会话 cookie 并使脚本作者能够登录并模拟它们
  3. 显示假“你的会话已过期。请再次登录。” 消息发送用户的密码,脚本作者
  4. 注册恶意服务工作者,在每次访问该网站时都会运行恶意脚本。
  5. 建立一个虚假的付费墙,要求用户付钱才能访问实际上发给剧本作者的网站

不要认为 XSS 不会损害你的网站及其访问者。