XSS漏洞出现的原因是你的数据操作API有没有可能被人无转义的注入可执行脚本,譬如:你有一个保存用户的API: http://xxxx/api/saveuser 而如果我在调用这个api时,如果可以在用户信息里传入一段脚本,并且你的后端服务没有对其进行处理,譬如我给的用户信息是: { name: 'Hanmeimei', introduction: '<script>alert('Hello World')</script>' } 如果后端服务器无转义的直接把这段introduction存到数据库里,而且取出时也没转义,那当前端把这个字段显示到页面时就可能直接弹出alert。 所以是否存在XSS注入风险,和是否restful风格没有严格关系,关键在于设计/开发时是否考虑到了这个问题,并做了相应处理
极客观点
项目管理
HarmonyOS
XSS漏洞出现的原因是你的数据操作API有没有可能被人无转义的注入可执行脚本,譬如:你有一个保存用户的API:而如果我在调用这个api时,如果可以在用户信息里传入一段脚本,并且你的后端服务没有对其进行处理,譬如我给的用户信息是:
如果后端服务器无转义的直接把这段
introduction存到数据库里,而且取出时也没转义,那当前端把这个字段显示到页面时就可能直接弹出alert。所以是否存在
XSS注入风险,和是否restful风格没有严格关系,关键在于设计/开发时是否考虑到了这个问题,并做了相应处理