Detektieren dynamisches Javascript für XSSI

Question

Ich versuche, die Cross-Site-Skript-Aufnahme zu verstehen. Ich habe das Papier von Sebastian Lekeis (click here for paper und slide und video link) gelesen und habe eine Idee davon bekommen. Hier ist das Erfassen von dynamischem Javascript ein Teil der Methodik und ich habe hier etwas Verwirrung.

Was genau bedeutet es durch dynamische JavaScript-Erkennung. Hier wird gesagt, dass dieselbe Skriptdatei zweimal angefordert würde. eines mit Authentifizierung und eines ohne. aber meine Verwirrung ist, wenn ich anfrage script.js Datei zweimal, wie kann es abweichen. Der Server sendet immer die Datei mit der gleichen Codezeile. ist es nicht .. ??

Nach dem Abrufen der Skriptdatei wird der Browser die Datei ausführen, und wenn sie fertig ist, kann sie sich voneinander unterscheiden.

suppose,

$http.get("home/GetInfo", function(response){ 
    $scope.userName = response; 
}); 

hier $scope.userName Wert abweichen kann, aber die Skriptdatei wird gleich bleiben.

Was ist falsch in meinem Verständnis ..?

Answer 1

Dynamisches JavaScript ist, wo die Skriptdatei vom Server verarbeitet wird, um Werte basierend auf Cookies usw. einzufügen, bevor sie an den Client gesendet werden. Dies wird manchmal verwendet, um einige Anfangsdaten an den Client zu übergeben.

So könnten die Skriptdatei Inhalte wie:

sessionId = "<%= getSessionId() %>"; 

$http.get("home/GetInfo?sessionId="+sessionId, function(response){ 
    $scope.userName = response; 
}); 

und wenn es anfordert, bekommt man so etwas wie:

sessionId = "d8e8fca2dc0f896fd7cb4cb0031ba249"; 

$http.get("home/GetInfo?sessionId="+sessionId, function(response){ 
    $scope.userName = response; 
}); 

Die sessionId wörtlich das Skript angefordert jedes Mal anders sein würde, die Wenn erkannt, wird angezeigt, dass dynamisches JavaScript verwendet wurde.