XSS代码注入方式-2
Posted 区块链小哥
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS代码注入方式-2相关的知识,希望对你有一定的参考价值。
l 主要是通过插入” onclick =”alert(1)或者><script>alert(1)</script>,先用引号闭合掉前面的语法,然后引入新的html事件属性或者直接引入javascript脚本来进行。针对不同的过滤手段,可能绕过的方法如下:
l 如果过滤器是针对alert,on关键字进行黑名单过滤,可采用大小写混写如On或者多重嵌套oonn方式绕过。
l 很多过滤器默认只过滤双引号,如果用户数据是输出在单引号内的话,就可以通过单引号进行闭合。
l 如果过滤器对双引号进行了过滤,但过滤方式是用反斜杠进行转义,且HTML页面的编码方式是GBK系列宽字符编码,则可利用宽字符将反斜杠吃掉,如将双引号替换成”%d5%22”
以上是关于XSS代码注入方式-2的主要内容,如果未能解决你的问题,请参考以下文章