关于XSS问题，这些可以无视吗？（淘宝里貌似也有）

bzcyer

今天在测试一个web的时候，发现很多XSS的问题，然后同事说，到taobao上看看是不是也有呢～
找了段代码，贴到www.taobao.com的搜索框里

1. >"'><img src=&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;alert(21879)>

复制代码

结果如图：




差不多同样的问题，在我们单位其他的一些web上也存在，提bug给项目负责人，结果说，这些只是客户端的问题，不存在安全威胁。不知道是我对XSS的理解太差了还是别人对这些理解不够，但总觉得这样被人弹框总归是很不好的。
另外，难道这样的问题可以无视吗？

[ 本帖最后由 bzcyer 于 2008-8-13 11:05 编辑 ]

ruanyongjie

对于这样的问题并不是视而不见或无视, 既然问题发生肯定有他的原因, 要么他们没有做系统安全测试,要么做了但覆盖范围不全有遗漏的,   谁都不能保证自己测试的覆盖100% 偶尔也会范些错误的;

bzcyer

其实，我还是找不到理由，去和开发说，你这alert出个东西，就有危害。

photon

xss不会直接对服务器造成破坏,管理人员自然不是很在意.

photon

由于不会直接破坏服务器，管理员会不那么重视。

photon

把我前面重复的帖子删了，谢谢。

sihanjishu

你可以尝试一下，在跨站里发送一个cookie给其他人，看看能不能得到这个cookie，然后利用cookie登陆别人的淘宝管理页面。

如果成功的话，只需要发送给别人一个连接，就可以得到别人的cookie，然后获得他们的帐户操作权限，这样证据也许可以确凿一些。

注意此时的可能不是本地的cookie，而是session cookie，是具有实效性的。