簡體 English 中英

內容不會出現在正文中

[英]Content not appear in body

原文 2015-04-01 09:33:08 8 1 xss/ javascript

我有一個文件a.html ，其中包含以下內容：

<script>
var x=document.URL.substring(document.URL.indexOf('#')+1);
document.write(x);  
alert(document.body.innerHTML);
</script>
<body>

</body>

當我瀏覽a.html#somevalueh;alert(1)</script> ，為什么只有"somevalueh;alert(1)"而不是</script>部分出現在正文中？

我正在使用chrome btw。 它是一個阻止XSS的功能嗎？ 它是通過剝離</script>還是......來起作用的？

1 個解決方案

Chrome具有針對Reflective XSS攻擊的默認保護。 在Chrome中，有一個標志，您可以使用該標志啟動瀏覽器。 如果使用此標志啟動瀏覽器，則可以執行所需操作：

--disable-web-security

XSS payload 中的 background 屬性

[英]XSS payload in the background attribute of <body>

Spring MVC轉義請求正文

[英]Spring MVC Escape Request Body

主體.NET MVC上的XSS驗證

[英]XSS Validation on body .NET MVC

需要在 Java 8 中清理 ResponseEntity 的主體

[英]Need to sanitize body of ResponseEntity in Java 8

Web服務器：此請求如何出現

[英]web server: how does this request appear

如何在java過濾器中更改servlet請求主體？

[英]How to change servlet request body in java filter?

在IIS中為301重定向設置自定義響應正文

[英]Set Custom Response Body for 301 Redirect in IIS

將iframe設置為遠程內容的內容高度

[英]Set iframe to height of content for remote content

web 推送通知正文是否需要轉義？

[英]Does web push notification body need to be escaped?

XSS - 內容安全策略

[英]XSS - Content Security Policy

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 XSS payload 中的 background 屬性 Spring MVC轉義請求正文主體.NET MVC上的XSS驗證需要在 Java 8 中清理 ResponseEntity 的主體 Web服務器：此請求如何出現如何在java過濾器中更改servlet請求主體？在IIS中為301重定向設置自定義響應正文將iframe設置為遠程內容的內容高度 web 推送通知正文是否需要轉義？ XSS - 內容安全策略

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM