XSS代码注入方式-2

Posted 区块链小哥

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS代码注入方式-2相关的知识,希望对你有一定的参考价值。

主要是通过插入 onclick =alert(1)或者><script>alert(1)</script>,先用引号闭合掉前面的语法,然后引入新的html事件属性或者直接引入javascript脚本来进行。针对不同的过滤手段,可能绕过的方法如下:

如果过滤器是针对alert,on关键字进行黑名单过滤,可采用大小写混写如On或者多重嵌套oonn方式绕过。

很多过滤器默认只过滤双引号,如果用户数据是输出在单引号内的话,就可以通过单引号进行闭合。

如果过滤器对双引号进行了过滤,但过滤方式是用反斜杠进行转义,且HTML页面的编码方式是GBK系列宽字符编码,则可利用宽字符将反斜杠吃掉,如将双引号替换成%d5%22


以上是关于XSS代码注入方式-2的主要内容,如果未能解决你的问题,请参考以下文章

安全漏洞XSS、CSRF、SQL注入以及DDOS攻击

XSS注入方式

XSS攻击,常见的攻击方式之一,使用JS脚步注入目标网页

XSS原理

yii2过滤xss代码,防止sql注入

XXS和SQL注入的预防