Nói tóm tắt:
- Hacker gửi mã độc javascript cho người dùng hoặc gửi vào trong database
- Người dùng load trang web, vô tình thực thi mã độc javascript
- mã độc gửi thông tin xác thực người dùng (sessionid, token) cho hacker
Phòng choongs:
validate dữ liệu nhập vào
lọc dữ liệu (xóa những ký tự hoặc từ đặc biệt như < > script...)
escapse dữ liệu (ví dụ < hoặc > thì convert thành < >)
No comments:
Post a Comment