2016年10月1日
为什么在留言处插入<script>alert(1)</script>不弹框
摘要: 对于新手来说,往往会在留言地方插入<script>alert(1)</script>来检测是否有存储xss,事实是基本上不会弹框的,为啥? 通过查看源码,可知道<>标签被实体编码了。 是前端和后端设置了过滤?非也!。 因为有些标签自身具备htmlencode功能,标签有: <textarea> <t 阅读全文
posted @ 2016-10-01 17:25 B1gstar 阅读(13885) 评论(22) 推荐(0) 编辑