为什么SSL不能防范跨站脚本攻击(XSS)?

发布网友发布时间：2022-05-13 17:53

共3个回答

热心网友时间：2023-10-19 02:25

ssl 只不过是把数据加密了，你传了什么数据他就加密什么，即便是恶意脚本。他只是防止敏感信息泄漏，它本身貌似没有数据验证和过滤等功能。防止跨站脚本还是自己做好验证/过滤/编码等

热心网友时间：2023-10-19 02:26

SSL只是负责和地址栏上面写的那个域名的服务器进行可靠而保密的通信。

通信过程的可靠并不意味网页上的代码是可靠的

XSS的起因是网页上的不完备设置导致允许非站内的脚本/其它内容执行，而这一点通常并不能由浏览器的"混合内容"发现并发出警告

参考资料：http://www.xssed.com/news/95/Google_SSL_page_vulnerable_to_XSS/

热心网友时间：2023-10-19 02:26

建议你还是找专业做网站安全的来给你解决把！这些都是专业性很强的知识，懂的人很少！