XSS(跨站點腳本)與 HTML 注入
[英]XSS (Cross Site Scripting) vs HTML Injection
問題描述
我們如何准確區分 XSS 和 html 注入。 這兩者都屬於代碼注入,XSS 主要與 Java Script 相關,但還包括其他其他元素,如Miter 上所述。 引用此來源:
在頁面生成期間,應用程序不會阻止數據包含可由 Web 瀏覽器執行的內容,例如JavaScript、HTML 標記、HTML 屬性、鼠標事件、Flash、ActiveX 等。
雖然 HTML 主要與注入 HTML 代碼有關,如果我瀏覽OWASP 的這個頁面,它指出 HTML 注入是一種 XSS。 引用此來源:
如果這些方法提供了不受信任的輸入,那么XSS 的風險很高,特別是 HTML 注入。
另一方面,許多消息來源聲稱 HTML 注入是 XSS 的子集,例如OWASP 的這個頁面。 引用此來源:
跨站腳本,更廣為人知的是 XSS,實際上是 HTML 注入的一個子集
有消息來源試圖解釋兩者之間的差異,但似乎沒有一個是令人滿意的答案(而是有爭議)。 那么它們究竟有什么不同呢? 其中一個可以被視為另一個的子集嗎?
2 個解決方案
解決方案1
1 2019-07-07 10:22:47
解決方案2
0 2019-07-10 09:12:35
HTML注入是XSS(跨站點腳本)攻擊的超集 。 為了成功進行XSS攻擊,攻擊者需要在目標HTML頁面中注入並運行JS代碼。
解決方案3
0 2019-07-10 16:24:37
Xss與JavaScript有關,但是我同意它也包含HTML實體,因此也被認為與HTML注入密切相關,但是請注意,測試人員使用的有效負載主要僅用於演示目的,並不包括該漏洞的實際影響,因此它們甚至不包含太多JavaScript。 同樣,某些HTML實體對於突破上下文很重要,但這並不類似於HTML注入。
Jboss / Apache級別的HTML編碼,用於處理XSS跨站點腳本
[英]HTML encoding at Jboss / Apache level for handling XSS cross site scripting
如何在允許 HTML 輸入的同時防止 XSS(跨站點腳本)
[英]How to prevent XSS (Cross Site Scripting) whilst allowing HTML input
是否可以在Mobile Safari中允許跨站點腳本(XSS)?
[英]Is it possible to allow Cross Site Scripting (XSS) in Mobile safari?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.