具有URL编码的XSS
具有URL编码的XSS
提问于 2018-07-26 23:49:48
如果网站URL被编码,那么该网站是否仍然容易受到XSS的攻击?
例如,如果我尝试<script>alert(1)</script>并将我的有效负载编码为%3Cscript%3Ealert(1)%3C%2Fscript%3E,这是否意味着该站点易受XSS攻击或不受XSS攻击?
回答 1
Security用户
发布于 2018-07-27 00:06:25
在这个特定的例子中,该参数不会容易受到XSS的攻击。
它确实取决于,您没有提供大量的信息,但一般来说,这似乎是类似于:htmlspecialchars(htmlentities($input)),这是难以置信的安全。
这并不意味着站点不容易受到攻击,它只是意味着这个参数似乎是安全的。
这仍然取决于,参数是否将您的输入注入到链接、iframe、图像等?如果它是在另一个元素中注入,那么无论使用javascript:和data:之类的方法,它都是可能的。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/190459
复制相关文章
相似问题
腾讯云开发者
