HTML中可能使用为协议造成XSS 的属性
来源:互联网 发布:淘宝互刷信誉平台 编辑:程序博客网 时间:2024/05/21 02:52
新思路:
1、服务端可以过滤敏感标签<script>
2、使用html 属性 为协议javascript:[code]
3、若服务端过滤关键字,可以通过空格回车Tab 等加载在关键字中间通过过滤,因为js语句结束是分号,所以浏览器加载引擎会继续发现这些分隔号后面的内容。
4、HTML属性值本身支持ASCII编码,也可以通过编码绕过过滤(其他编码格式base64)
5、还可以通过标签事件来触发XSS,如:<img src="#" onerror=alert(/xss/)>
找不到src时就会触发这个事件。
阅读全文
0 0
- HTML中可能使用为协议造成XSS 的属性
- php foreach中使用了传值引用&赋值可能造成的问题
- android中可能造成内存泄露的几种方式
- 俄勒冈州一家未经使用的监狱可能将被改造成数据中心
- 使用属性时造成的死循环
- html中target属性的使用详解
- PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数
- 解决WCF“这可能是由于服务终结点绑定未使用 HTTP 协议造成的,这还可能是由于服务器中止了 HTTP 请求上下文(可能由于服务关闭)所致”异常
- html属性的使用
- html中框架的使用和属性target的使用
- Hidden属性的input标签中XSS的触发方法
- Hidden属性的input标签中XSS的触发方法
- HTML canvas一些你可能忽视的自带属性
- express中设置cookie的httpOnly属性防御xss攻击
- HTML中table的属性tr、th、td的使用
- html 中 a 链接的 download 属性的神奇使用
- html 中 a 链接的 download 属性的神奇使用
- Html中代码换行造成空格间距的问题解析
- 异步Socket通信编程的C#实现(2)
- 输入三条边并判断是否为三角形,若能构成三角形,指出其为何种三角形:等边、直角亦或者一般三角形
- 循环数比较
- ERROR: bootstrap checks failed max file descriptors [4096] for elasticsearch process likely too low,
- 存储器(一)
- HTML中可能使用为协议造成XSS 的属性
- .Net学习笔记-.Net基础2 C#面向对象基础3
- GPON其他厂商配置流程分析
- 对c语言预处理中头文件包含的一些新的理解
- spring-data-jpa 介绍 复杂查询,包括多表关联,分页,排序
- 八大排序算法的 Python 实现
- 微服务实战系列--Nginx官网发布(转)
- 每天的支付宝红包口令
- csdn markdown 语法
