js之浏览器自动填充表单的危害(三)

上一篇文章提到(点击即可访问) :在进行xss攻击时,如果cookie中被添加了httponly属性,我们可以尝试获取浏览器中由于记住密码而自动填充的表单里面的值,那这篇我们来看下自动填充的危害。

我们继续拿我们昨天的代码

我们在一些文本框输入某个值的时候,会发现其他对应的值也会被对应填充上,那是因为浏览器记录了相关表单属性的值,下次出现相同的表单属性会自动填充

也就说,下次B站只要出现上图中A站同样的name为pwd的表单,会自动填充上A站中的密码。

如果一个网站,只出现了一个账号的表单,你不假思索的选择了原先保存过的账号,比如下面这样

点击提交会怎么样?

会我的密码也提交过来了!!

看一下代码,原来其中把pwd表单隐藏了

那我们是否可以创建一个恶意的、隐藏的表单,里面填满了如email、address、phone......

原文发布于微信公众号 - 中国白客联盟(China_Baiker)

原文发表时间:2018-09-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大前端开发

微信小程序新增拖动组件:movable-view

小程序在520节日前夜,让程序员们又躁动了一把,更新了一些很诱人的功能,如内容转发API,iBeacon API,振动API,屏幕亮度调节API等,也增强了地图...

1444
来自专栏大内老A

ASP.NET MVC的客户端验证:jQuery的验证

之前我们一直讨论的Model验证仅限于服务端验证,即在Web服务器根据相应的规则对请求数据实施验证。如果我们能够在客户端(浏览器)对用户输入的数据先进行验证,这...

2499
来自专栏技术博文

sublime Text3

sublime Text3实用功能和常用快捷键 PS:ST3在Mac OX与Windows不同平台下的快捷键差别很大。下面是针对windows平台的解说。 1....

30311
来自专栏Golang语言社区

如何使用golang实现操作键盘按键

https://godoc.org/github.com/nsf/termbox-go 这个库可以支持 简单示例: package main import...

4665
来自专栏前端布道

桌面端前端性能优化策略

例如同一个域名 CDN 服务器上的 a.js,b.js,c.js 就可以按如下方式在一个请求中下载:

1042
来自专栏码生

swift floatWindow 自定义 iphone小圆点 浮动窗口 第三方库 pod

KKFloatWindow create a float window, to do some extra things

1172
来自专栏向治洪

微信小程序开发入门篇

本文档将带你一步步创建完成一个微信小程序,并可以在手机上体验该小程序的实际效果。 开发准备工作 获取微信小程序的 AppID 登录 https://mp.wei...

3926
来自专栏大前端开发

使用mpvue开发小程序教程(三)

在上一篇文章中,我们熟悉了一下通过vue-cli生成的mpvue工程代码骨架的基本结构,大致了解了每一个部分的代码到底要放到何处。从本文起我们就开始涉及真正的编...

3343
来自专栏Pythonista

Go开发之VScode安装

https://vscode.cdn.azure.cn/stable/bc24f98b5f70467bc689abf41cc5550ca637088e/VSCo...

1051
来自专栏web

vue-router基本使用

1462

扫码关注云+社区

领取腾讯云代金券