类似于http://weibo.com/apis/show_friends
这种HTTP API
风格的URL
,是否依然存在XSS
漏洞呢?
XSS
漏洞出现的原因是你的数据操作API有没有可能被人无转义的注入可执行脚本,譬如:你有一个保存用户的API:
http://xxxx/api/saveuser
而如果我在调用这个api时,如果可以在用户信息里传入一段脚本,并且你的后端服务没有对其进行处理,譬如我给的用户信息是:
{
name: 'Hanmeimei',
introduction: '<script>alert('Hello World')</script>'
}
如果后端服务器无转义的直接把这段introduction
存到数据库里,而且取出时也没转义,那当前端把这个字段显示到页面时就可能直接弹出alert
。
所以是否存在XSS
注入风险,和是否restful
风格没有严格关系,关键在于设计/开发时是否考虑到了这个问题,并做了相应处理