大家对反射式XSS怎么看

男孩子

反射式XSS一直处于一个比较有争议的地位，测试觉得是漏洞，研发觉得没什么。
比如这个就是个典型的反射式XSS漏洞：
http://www.bokee.net/includes/yu ... 7%E5%AD%A9%E5%AD%90
将stra后边的部分替换成脚本，发给不太懂这个的人，就算计他一把。但是你跟研发说，研发会很不以为然的说“这有什么，对我网站又没影响。”同时呢，现在不少浏览器也增加了对这类反射式XSS攻击的防范功能，使我们可以说服别人的依据又少了一条。

大家平时对这类漏洞都是什么态度呢？处理 or 不处理？

一起聊聊吧，就当提升版面人气了，呵呵。

houzeal

关注中..........

男孩子

没人气啊

GeorgeWangLC

关注中

jessies

处理，最近遇到几个这类的XSS问题，发现之后，交由安全开发进行推进架构处理。这一类的问题，不会直接交给功能方面的开发，会交给架构开发进行框架上整体过滤

男孩子

楼上的，你们公司分的好仔细啊。
羡慕ing。。。

ljdfdd

反射型xss可以模拟钓鱼网站得到帐号密码的,所以是个大的安全漏洞...

moyiyun

路过，关注，正在研究XSS攻击！

蜗牛来了

XSS危害性的评估要结合具体的“情境”。这样才有意义。只要相关“情境”容易导致出现业务损失或其他问题，自然会被产品部门重视，反过来推动研发重视

SariyaLee

了解一下，，