我们开始得到
Refused to execute a JavaScript script. Source code of script found within request.
使用Chrome的版本17。版本16运行良好。它似乎抱怨的是,我们做了一个帖子,如果我理解正确的话,回复与我们已经得到的回复是一样的。或者,有没有办法确切地核实它抱怨的是什么?
有没有办法绕过这个问题,或者有没有人在使用新版本的Chrome时遇到了类似的问题?我们没有在我们的网站上做任何交叉发布,所以它看起来有点像Chrome的bug,但不管怎样,它需要解决。
我最近不得不主持一个Tinyboard imageboard。还有一个Javascript,当你将鼠标悬停在那个帖子ID上时,它会弹出一个帖子,但这个脚本似乎不起作用。具体地说,这里有javascript:,而我完全是js的乞求者,所以我不知道它有什么功能,有什么问题。如果出于某种原因,你想自己去看一下这个图像板:3 7 0 c h a n。L t /int
我当时正在查看这里,并且我了解反射- does (客户端XSS)并不通过服务器端脚本,而是反射XSS (服务器端XSS),但它们都不存储在数据库中。但是我对一个注入能做什么而另一个不能做什么感到困惑,XSS通过服务器端脚本与被注入客户端页面(脚本仍然在客户端运行)的危险是什么?此外,是否存在持久的DOM XSS(客户端XSS)注入,如果是这样的话?
这个网站在请求中有一个标题(如果-无匹配),无论您为其设置值,响应都将包含一个标头(ETag),其值为If- to Match标头。
我理解它为什么这样做,但是是否有任何可能的利用,可以通过从请求到响应的头值的反射来执行?
我尝试了CRLF,但失败了,因为响应头没有解码请求中的URL编码或Unicode实体。