我正在测试一个网络应用程序。我想写一个XSS
将显示警报的脚本"Hello"
.
我写的第一个脚本是:
<script >alert("Hello");</script >
但没有显示警报"Hello"
。我发现XSS
有效的脚本是
<SCRIPT >alert(String.fromCharCode(72,101,108,108,111,33))</SCRIPT >
我想知道为什么第一个脚本不起作用。
该网站很可能用 HTML 实体替换双引号,或尝试以其他方式转义它们,从而使它们不适合 JavaScript。
使用时String.fromCharCode(...)
您不必使用任何引号,这样它就可以工作。它获取字符串字符的 ASCII 代码列表,并在运行时从中创建一个字符串。所以不需要任何引用。
避免这种XSS的正确方法是替换<
with <
- 这样根本无法创建脚本标签。
注意>
, "
and &
在清理包含 HTML 的数据时,也应该替换为各自的 HTML 实体!然而,仅<
假设 HTML 属性中不能使用不受信任的数据,那么绝对需要击败 XSS 攻击(这就是"
需要消毒)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)