、"为"、’为’。2.javascript字符串中对特殊字符使用\xhh或\uhhhh格式编码。3.url中非字母数字字符转换为%hh形式。4.
</div&amp;gt;<p&amp;gt;如果用户输入的是 <code&amp;gt;&amp;amp;amp;amp;quot;; alert(document.cookie); //</code&amp;gt;,那么经过HTML实体编码后,它可能依然是 <code&amp;gt;&amp;amp;amp;amp;quot;; alert(document.cookie); //</code&amp;gt;,或者即便HTML实体编码了,在JS字符串上下文中,它依然能突破字符串的边界:</p&amp;gt;<div class=&amp;amp;amp;amp;quot;code&amp;amp;amp;amp;quot; style=&amp;amp;amp;amp;quot;position:relative; padding:0px; margin:0px;&amp;amp;amp;amp;quot;&amp;gt;<pre class='brush:javascript;toolbar:false;'&amp;gt;var userName = &amp;amp;amp;amp;amp;quot;&amp;amp;amp;amp;amp;quot;; alert(document.cookie); //&amp;amp;amp;amp;amp;quot;;alert(&amp;amp;amp;amp;amp;quot;Hello, &amp;amp;amp;amp;amp;quot; + userName);</pre&amp;gt;
</div&amp;gt;<p&amp;gt;你看,<code&amp;gt;&amp;amp;amp;amp;quot;</code&amp;gt; 闭合了前面的字符串,<code&amp;gt;alert(document.cookie)</code&amp;gt; 被执行,后面的 <code&amp;gt;//</code&amp;gt; 注释掉了多余的引号,完美绕过。这说明了,在JavaScript上下文里,你需要对 <code&amp;gt;&amp;amp;amp;amp;quot;</code&amp;gt; 这样的字符进行JavaScript特有的编码,比如 <code&amp;gt;\x22</code&amp;gt;。</p&amp;gt;<p&amp;gt;XSS攻击主要分为几类:</p&amp;gt;
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1568673.html
赞 (0)
打赏
微信扫一扫
支付宝扫一扫
微信扫一扫
支付宝扫一扫
