深度探讨隐藏在你代码中的漏洞：变异型跨站脚本（mXSS）

文章预览

跨站点脚本 (XSS) 是一种众所周知的漏洞类型，威胁行为者可以将 JavaScript 代码注入易受攻击的页面。当不知情的目标用户访问该页面时，注入的代码将在目标用户的会话中执行。此攻击的影响可能因应用程序而异，例如帐户接管(ATO)、数据泄露，甚至远程代码执行(RCE)，但不会造成业务影响。 XSS有多种类型，例如反射型、存储型和通用型。但近年来，XSS的变异类型因绕过 DOMPurify、Mozilla bleach、Google Caja 等数据清洗程序而令人生畏……影响了包括 Google 搜索在内的众多应用程序。到目前为止，我们发现许多应用程序都容易受到此类攻击。 背景 如果您是 Web 开发人员，您可能已经集成甚至实施了某种数据清洗措施来保护您的应用程序免受 XSS攻击。但人们对制作合适的HTML数据清洗程序其难度并不清楚。HTML数据清洗程序的目标是确保用户生成的内容（例 ………………………………