Что это за тип XSS и как его предотвратить

Question

Вот код example.com, который я сохранил на рабочем столе своего компьютера как index.html:

<channel> <title>Comments on: Voor uw organisatie</title> <atom:link href="https://example.com/feed/" rel="self" type="application/rss+xml" /> <link>https://example.com</link> <description>PIM: Wie weet wat van mij?</description> <lastBuildDate>Mon, 17 Sep 2018 13:22:52 +0000</lastBuildDate> <sy:updatePeriod>hourly</sy:updatePeriod> <sy:updateFrequency>1</sy:updateFrequency> <generator>https://wordpress.org/?v=4.9.3</generator> </channel> 

Я открыл этот файл в текстовом редакторе и изменил

<generator>https://wordpress.org/?v=4.9.3</generator> 

до

<generator>"><img src="x" onerror="alert(document.cookie)"></generator> 

Когда я открыл измененный HTML-файл в Firefox, я получаю окно с предупреждением о файлах cookie. Я знаю, что это XSS, потому что я получаю это предупреждение XSS в своем браузере.

Мой вопрос: почему это происходит? Потому что я не вводил этот код в параметр. Так как же разработчик может это исправить или дезинфицировать этот код?

Есть ли какое-либо влияние этого?

Answer 1

Учитывая сайт, который Алиса посещает и посещает Боб, атака XSS может произойти, когда Мэллори (злоумышленник) заставит JavaScript запустить браузер Алисы на сайте Боба.

Алиса редактирует документ HTML на своем компьютере(даже один скопированный с другого веб-сайта), поэтому он запускает JavaScript, а затем загрузка этого HTML-документа в ее браузер не выполняет XSS-атаку.Она просто запускает JavaScript в системе, которой она полностью контролирует.

Answer 2

Это не XSS, это неработающий HTML. Предупреждение является ложным срабатыванием.