為什麼來自其他人的指令碼會損害你的網站及其訪問者
如果你認為惡意指令碼不會損害你的網站,那就錯了。以下列出了惡意指令碼可以執行的操作:
- 從 DOM 中刪除自己,以便無法跟蹤它
- 竊取使用者的會話 cookie 並使指令碼作者能夠登入並模擬它們
- 顯示假“你的會話已過期。請再次登入。” 訊息傳送使用者的密碼,指令碼作者。
- 註冊惡意服務工作者,在每次訪問該網站時都會執行惡意指令碼。
- 建立一個虛假的付費牆,要求使用者付錢才能訪問實際上發給劇本作者的網站。
請不要認為 XSS 不會損害你的網站及其訪問者。