我担心与我的网站的javascript文件有关的事情,我不确定这是否可行.
当有人访问网站时,将下载Js文件,如果有人编辑了下载的js脚本并插入了他自己的代码,然后刷新了网站.在新刷新中,网站将读取已编辑的Js文件并运行恶意代码.恶意代码可能用于以正常方式在服务器上运行某些代码.
例:
HTML
PHP
if( $user->id == $page->userID )
{
?>
PHP
}
?>
使用Javascript
$(".SubmitArticle").click( function(e){
var targetPage = $(this).attr('id');
var thisForm = $(this).parent();
var postData = thisForm.serialize() + "&targetPage=" + targetPage;
$.post(document.location,postData,function(data) {
$('#mainDiv').html(data);
});
});
if( isset($_POST["SubmitArticle"]) )
{
$pageID = $_POST["targetPage"];
$text = $_POST["articleText"];
PublishArticle( $pageID,$text );
}
恶意代码:
代码插入JS文件以在其他用户页面上写文章(这是不允许的),攻击者使用视图页面源从html元素读取页面ID(比如说page_id = 12):
postData = "SubmitArticle=1&targetPage=12&articleText='Muwhahahah'";
$.post(document.location,function(data) {
});
如果可能的话,解决方案是什么?
最佳答案