Starpvietņu skriptošana
Šajā rakstā nav minēta būtiska informācija saistībā ar raksta tematu vai arī ne tik nozīmīga informācija ir pārāk uzsvērta. Teksts var radīt nepareizu priekšstatu par raksta tematu. Lūdzu, palīdzi uzlabot šo rakstu. Ja ir kādi ieteikumi, vari tos pievienot diskusijā. Vairāk lasi lietošanas pamācībā. |
Starpvietņu skriptošana[1] (angļu: Cross Site Scripting), arī XSS, ir datoru drošības ievainojamību paveids, kas, visbiežāk, skar tīmekļa lietojumprogrammas.
Uzbrucējs izmanto XSS, lai iemānītu sevis izveidotu skriptu gala lietotājam. Tā kā lietotāja pārlūkprogramma uzskata, ka skripts ir saņemts no uzticama informācijas avota un tai nav nekādas iespējas uzzināt, to ka skriptam nedrīkst uzticēties, programma palaidīs skriptu, tādējādi nodrošinot tam piekļuvi jebkurām lietotāja sīkdatnēm (cookies), sesiju datiem un citai informācijai, kuru lietotāja pārlūkprogrammā izmanto tīmekļa lapā. Ar šādu skriptu palīdzību iespējams pārrakstīt HTML lapas saturu.
XSS piemērs
[labot šo sadaļu | labot pirmkodu]Tīmekļa lapa, kurai kā parametrs tiek nodots kāda cilvēka vārds vai iesauka, lai apsveiktu to dzimšanas dienā:
http://example.lv/happy_birthday.php?name=Bob[novecojusi saite]
Atverot šo adresi, lietotājam parādās uzraksts "Happy birthday, Bob", kas HTML valodā izskatās šādi:
<html><body>
Happy birthday, Bob
</body></html>
Bet atverot šo adresi:
http://example.lv/happy_birthday.php?name=[novecojusi saite]Bob
lapas saturs pārvērtīsies par:
<html><body>
Happy birthday, Bob
</body></html>
Šajā gadījumā tiek injicēta HTML font birka, kas pati par sevi neko ļaunu lietotājam nenodara, bet font taga vietā iespējams ievietot script birku, ar kuras palīdzību lapā var ievietot JavaScript kodu.
Atsauces
[labot šo sadaļu | labot pirmkodu]Ārējās saites
[labot šo sadaļu | labot pirmkodu]
Šis ar informācijas tehnoloģijām saistītais raksts ir nepilnīgs. Jūs varat dot savu ieguldījumu Vikipēdijā, papildinot to. |