Web安全基础-反射型XSS
XSS ,全称Cross Site Scripting,即跨站脚本攻击:指攻击者在⻚⾯中注⼊恶意的脚本代码,当受害者访问该⻚⾯时,恶意代码会在其浏览器上执⾏。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。反射型XSS,恶意代码不存储在服务器,由客户端解析。
输入Li lei,正常返回如下:
如果输入<script>alert(1)</script>?
http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%281%29%3C%2Fscript%3E#
页面输出:<script>alert(1)</script> (chrome中会拦截)
0x0 案例
页面输出:<img src=1 onerror=alert(1)>
0x1 防御XSS
- 过滤⽤户输⼊的特殊字符
- 过滤⽤户输⼊的XSS敏感词
- 实体化HTML字符
- 定义⽤户输⼊的⽩名单
本文由小虎于2023-02-21发表在皮皮云科技,如有疑问,请联系我们。
本文链接:https://pipiy.cn/post/63.html
发表评论