3
&から&にエスケープしないと、誰かがクロスサイトスクリプティングの脆弱性につながるケースが分かりましたか?私はそれについて考えましたが、例を思い付くことはできませんでした。事前にXSSを避けて回避する理由
おかげ Konne
A
答えて
1
あなたはこの
& #39のようなものを試みることができる; +警告(1)+ '
は、今日のsearch.twitter.comで作業していました。
https://twitter.com/#!/kinugawamasato/status/38539726470397952
0
ロット噴射ランド場所に依存するが、簡単な例では、JavaScript、HTML符号化されたペイロードである
<a href="javascript:alert(1)">XSS</a>
あろう:ときXSSリンクアラート(1)発射れますをクリックします。これは、iframe src、document.location =、window.open()、またはhtmlエンコードされたペイロードをデコードして実行させるその他のメソッドでも使用できます。
別の例は、注射とURLを反映するのonEventの内部に着陸されるであろうような
<a onclick='http://www.foo.com?injection='*alert(1)*''>XSS</a>
符号化されたペイロードが復号化されるHTML、のonEvent構文から抜け出すと注入JavaScriptを発射します。
関連する問題
- 1. SortableIntFieldがUCS-16代理を避ける理由
- 2. Javaで定数フォールディングを避ける理由は?いつ?
- 3. Apache経由で302リダイレクトを避ける
- 4. 複数のao.lockの回避方法を回避するには?
- 5. 致命的なタスクエラーを回避する必要性を避けるには?
- 6. Androidアプリケーションのバックグラウンド処理を避ける
- 7. before_actionの処理を避ける
- 8. DOMNodeInsertedIntoDocumentイベントを回避する
- 9. PHPエラーを回避する
- 10. Ionic/Angluar:ExpressionChangedAfterItHasBeenCheckedErrorを回避する
- 11. EJB:トランザクションロールバックを回避する
- 12. Ext.formバリデーションを回避する
- 13. Webkit:contextmenu /クリック処理のバグの回避策?
- 14. 曖昧さ回避エラーの処理?
- 15. デザインモードプリプロセッサディレクティブ回避策
- 16. 回避クロスサイトスクリプティング
- 17. 回避策
- 18. JMenuItem.getRootPane()回避策?
- 19. Canvas.toDataURL()回避策?
- 20. ExpressionChangedAfterItHasBeenCheckedError回避策
- 21. クォーツシェイディングミスの回避
- 22. ブートストラップデータターゲットバグ回避策
- 23. 回避ラップ
- 24. 回避策
- 25. 回避(NUnitの)
- 26. デッドロック回避
- 27. 回避策StackOverflowException
- 28. 回避重複
- 29. 回避警告
- 30. 避け、
これは何をするのですか?私は本当にそれを取得していません。 –
これは、クライアントマシン上に警告ボックスを表示します。 – TheTestManager