构建可扩展的Web站点 8.0分
读书笔记 XSS
灭灭

常见攻击方法: html属性嵌入:

“><script>alert('xss');</script><

这个问题主流浏览器已经可以处理了 反匹配标签:

<script<script>>
<<script>script><script>>
<scr<!-- foo -->ipt>

反协议匹配:

href="java script:foo"
href="java{\t}script:foo"
href="java{\n}script:foo"
href="java{\0}script:foo"
href=" javascript:foo"
href=" JaVaSctiPt:foo"
href=”&#106;&#97;&#...;foo“
href=”&#106;&#97;&#...;foo“(省略 ’;‘ ,依靠浏览器纠正)
href=”&#00000106;&#0000097;&#...;foo“
href=”&#x6A;&#x61;&#...;foo“  (16进制)
href=”%6A;%61;%...;foo“  (16进制)

0
《构建可扩展的Web站点》的全部笔记 7篇
豆瓣
免费下载 iOS / Android 版客户端