前语

XSS 主动点按钮有什么损害？

在交际 *** 里，大多操作都是经过点击按钮建议的。例如宣布留言，假设留言体系有 BUG，那么 XSS 就能主动点击发送按钮，发布带有恶意代码的留言。老友看了中招后，又传播给他们的老友，然后构成蠕虫分散。

那么，有没有一种机制，让「宣布按钮」有必要经过用户的「实在点击」才干完结，而无法经过脚本主动完成？

完成

这个主意听起来如同不行行：假设宣布留言需求带上用户行为信息，那么 XSS 完全能够假造一份行为数据，后端底子无法辨认。

除非，用户在点击按钮时会发生一个「特别数据」，让后端校验它。

可是，XSS 也能够直接调用按钮元素的 click *** ，这样作用和用户点击依然相同。后端仍无法辨认，是脚本点的，仍是用户点的。

这么看来，咱们只能保护好这个「按钮元素」，让它无法被 XSS 访问到。例如，放在一个不同源的 iframe 里，这样就和 XSS 地点的环境隔离了！

不过，这样还不行。假设 XSS 破解了这个「特别数据」的生成规矩，那么即可自己假造一个，然后直接调用 HTTP 接口宣布留言。所以，咱们得找一个不行假造的硬标识。

事实上，有个很简单的 *** ：咱们爽性让 HTTP 恳求也经过 iframe 发送。这样，后端经过 referer 即可检测恳求是否为 iframe 建议的。究竟，XSS 是无法假造 referer 的！

[1] [2] [3]  黑客接单网