0
如何繞過XSS過濾器如果它逃脫這個符號:&
,<
,>
,\
,'
?旁路XSS逃生過濾器
如何繞過XSS過濾器如果它逃脫這個符號:&
,<
,>
,\
,'
?旁路XSS逃生過濾器
這取決於注射的位置。 這裏是XSS的一個例子,而不禁用字符:
比方說,一個頁面收到一個圖片文件名,並將其顯示,與不編碼引號字符:如果您訪問此網址
https://contoso.com/displaypic?source=111.jpg
<img src="111.jpg"></img>
,你有自己的XSS:
https://contoso.com/displaypic?source=a"+onerror="alert(111)
<img src="a" onerror="alert(111)"></img>
什麼是數據插入的上下文? – Gumbo
@Gumbo字符串。 – fudf
什麼字符串? JavaScript字符串文字? – Gumbo