类似于http://weibo.com/apis/show_friends这种HTTP API风格的URL,是否依然存在XSS漏洞呢?
XSS漏洞出现的原因是你的数据操作API有没有可能被人无转义的注入可执行脚本,譬如:你有一个保存用户的API:
http://xxxx/api/saveuser而如果我在调用这个api时,如果可以在用户信息里传入一段脚本,并且你的后端服务没有对其进行处理,譬如我给的用户信息是:
{
name: 'Hanmeimei',
introduction: '<script>alert('Hello World')</script>'
}如果后端服务器无转义的直接把这段introduction存到数据库里,而且取出时也没转义,那当前端把这个字段显示到页面时就可能直接弹出alert。
所以是否存在XSS注入风险,和是否restful风格没有严格关系,关键在于设计/开发时是否考虑到了这个问题,并做了相应处理