2回答
XSS注入和innerhtml
、、、、
我正在尝试了解XSS漏洞,但在理解这个概念时遇到了一些问题。我有一个测试站点,并试图通过xss从一个辅助页面启动一个警报框。我似乎不能让警报发生。我认为我的问题是xsstest页面中的代码没有注入到mytestpage/index.html页面中。我正在尝试使用innerhtml,因为我读到的帖子似乎在XSS测试中利用了这一点。我相当确定我没有正确使用innerhtml,或者可能它不是正确的“工作工具”,我走错了路。如有任何建议,我们将不胜感激。
我的XSS测
浏览 60提问于2019-12-01得票数 0
回答已采纳
我刚刚学习了XSS攻击背后的理论,现在我想以合法的方式测试我的知识。我使用工具检查了是否向DOM注入了有效负载,但由于某种原因,脚本没有执行。你知道为什么吗?你知道我怎样才能给OWASP果汁商店注入更复杂的有效载荷吗?
浏览 0提问于2018-12-15得票数 2
回答已采纳
扰流器警报:如果不想被宠坏的我目前正在做谷歌XSS挑战2级。
我正在使用element.innerHTML注入插入到文档中的XSS代码。我是XSS的新手,所以如果你在制定答案时参考源代码,我将不胜感激。
浏览 0提问于2014-06-12得票数 10
3回答
当我允许用户将数据作为参数插入JS innerHTML函数时,如下所示:我知道为了防止XSS,我必须对HTML编码,然后对用户输入进行JS编码,因为用户可以插入如下内容:只使用超文本标记语言或者只使用JS编码是没有帮助的,因为我所理解的.innerHTML使用HTML+JS编码时,我注意到.innerHTML只解码JS
浏览 2提问于2015-06-05得票数 14
回答已采纳
我正在我自己的代码上测试xss攻击。下面的示例是一个简单的框,用户可以在其中键入任何他想要的内容。在按下"test!html文件中并运行它,它将工作得很好,但如果您尝试输入<script>alert('xss')</script>,则只会抛出一个警告框:‘`test html’div (使用html()函数)中的一个我真的不明白为什么会发生这种情况,而且,用firebug检查代码会得到这样的结果(在注入脚本之后)。onclick="testIt();">
浏览 1提问于2011-11-30得票数 11
回答已采纳
2回答
场景:页面上有一个具有用户名信息的持久XSS。用户名在页面中显示了三次,只能显示一次,可见的则正确转义。我的第一个想法是更改显示在有效负载中的文本。
浏览 0提问于2013-08-01得票数 1
回答已采纳
2回答
跨站点脚本攻击、故障
、、、
我正在为一堂课准备期末考试,并试图复习家庭作业问题。这是我第一次获得零信用的原因之一。尝试了以下操作,但没有成功.<script>document.getElementById('collab').firstChild = 'test';</script> 像这样加起来..。在这里插入转义脚本,但没有工作。对我哪里出问题有什么想法吗?
这里是我们要利用的页面的HTML代码(vulner
浏览 1提问于2010-12-02得票数 2
回答已采纳
我试图找出一种方法来理解JavaScript脚本的哪一行负责XSS注入。让我们假设我有一个网站提示输入我的名字,在某个页面上,我将我的名字设置为类似<script>alert("XSS")</script>的东西。找到哪一行代码真正负责注入的最佳方法是什么?我通常会查找innerHTML(...)调用,试图找出注入有效负载的元素的ID,但它并不总是有效的。我也尝试使用<script>debugger;</s
浏览 0提问于2017-02-09得票数 2
2回答
我已经编写了一个微模板实用程序,它使用innerHTML根据用户输入(纯文本字符串或html字符串)在网页中注入html片段。有没有一种方法可以清理html字符串以防止这种注入?另外,有没有其他我应该知道的脚本注入方法?
浏览 7提问于2012-06-05得票数 1
回答已采纳
3回答
我将电子邮件的正文存储在javascript/typescript字符串(message.body)中。该字符串的内容是如下所示的html代码:我使用的是角引导程序,我尝试了下面的代码:ShowMessage(message: MailMsg) {
modalRef.componentInst
浏览 7提问于2020-08-11得票数 0
回答已采纳
2回答
我们如何准确地区分XSS和html注入。这两者都属于代码注入和XSS,主要与Java有关,但也包括其他元素,如前面提到的。虽然HTML主要是与注入HTML代码相关的,如果我通过,它指出HTML注入是XSS的一种类型。引用这一来源的话:
跨站点脚本,更被称
浏览 3提问于2019-07-07得票数 0
4回答
在执行XSS时,我们通常将JavaScript代码放在<script>标记之间。我注意到HTML注入非常相似,因为您正在做几乎相同的事情,但是使用不同的标记(例如<h1>、<p>、<span>等)。
结果可能会大不相同。在进行XSS攻击时,您可能会使用alert()创建通常的弹出窗口,而在执行HTML注入时,您可能会在网页上添加一些花哨的文本。
浏览 0提问于2019-03-25得票数 0
回答已采纳
我必须保护java web应用程序免受XSS攻击。script> use(jsvariable)但是escapeXml并没有避免脚本标记中的XSS
浏览 0提问于2014-08-17得票数 0
回答已采纳
1回答
我有以下代码:其中userInput是用户提供的变量。我认识到,用户可以通过插入以下内容轻松插入有害的脚本:但是,我不确定这是否是XSS的一个例子,因为我觉得只有受影响的用户才会是攻击者这是XSS的一个例子吗?如果是的话,您能给出一个
浏览 7提问于2017-10-02得票数 0
回答已采纳
XSS和SQL注入是未经消毒的用户输入的两个主要安全风险。
使用htmlspecialchars()可以防止XSS (当没有WYSIWYG时),使用参数化查询和绑定变量可以防止SQL注入。
浏览 14提问于2014-02-14得票数 1
是否还有其他方法来防止SQL注入和XSS攻击?我知道您可以为Java1.5或更高版本实现ESAPI,我的项目是在Java1.4上,需要实现ESAPI,防止SQL注入和XSS攻击,任何其他Java1.4库都是有用的。
浏览 6提问于2017-08-22得票数 1
我需要多担心XSS (据我所知,在使用MongoDB时不可能得到SQL注入)
由于我的大多数表单都是通过AJAX...is提交的,所以只需对所有传入数据使用Django +一个开源清理库()即可?
浏览 1提问于2011-09-28得票数 0
我有一个JSON对象,如下所示:text: <h1>This is my text</h1> <p> I want to include HTML 我使用Angular2 2的HTTP_PROVIDER从JSON读取数据。<p>{{jsonObject.text}}</p>
浏览 11提问于2016-10-15得票数 0
回答已采纳
我当时正在查看这里,并且我了解反射- does (客户端XSS)并不通过服务器端脚本,而是反射XSS (服务器端XSS),但它们都不存储在数据库中。但是我对一个注入能做什么而另一个不能做什么感到困惑,XSS通过服务器端脚本与被注入客户端页面(脚本仍然在客户端运行)的危险是什么?此外,是否存在持久的DOM XSS(客户端XSS)注入,如果是这样的话?
浏览 0提问于2015-08-20得票数 5
回答已采纳
云服务器
ICP备案
对象存储
云点播
智聆口语评测
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号