##<script>alert(/xss/);</script>
- 制限: CSS のみを使用でき、HTML タグは許可されません
式を使用して XSS を構築できることはわかっていますが、テストできるのは IE でのみです。 , IE6で以下のテストを行ってください。
body {
black;
xss:alert(/xss/));/*IE6下测试*/
}ログイン後にコピー
- 制限事項: HTML はエスケープされ、Image タグは使用可能です
。
テストに入力された文字は src アドレスに挿入されるため、擬似プロトコルを使用してそれを回避できます。
直接入力
または、イベントを使用して回避することもできます。次のように、最後のステートメントに注意してください:
1" onerror=alert(/xss/) ; var a="1
テストしましたが、ほとんどがフィルタリングされましたが、一部はフィルタリングされませんでした。script/onerror をテストした後、フィルタリングされましたが、onclick はフィルタリングされませんでした。onclick イベントを使用してバイパスしてください
<img src=# onclick=alert(/xss/);>
ログイン後にコピー
- 制限: 特徴的な文字をエスケープするには、アッドスラッシュを使用してください
つまり、一重引用符、二重引用符などは、 XSS ステートメント、特徴的な文字。
<script>alert(/xss/);</script>
ログイン後にコピー
を直接使用して
をバイパスするか、次のように String.fromCharCode メソッドを使用します。
以上がxss の小規模テストはどのように行われますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
