نوشته‌شده در

html – چه چیزی ما را متوقف می کند از استفاده از برچسب برای متوقف کردن XSS؟

من فکر نمی کنم که واقعا کمک می کنم

اگر به درستی درک کنم، شما پیشنهاد یک طرح مانند این: 


     "$ کاربر ارائه شده ورودی"

درست است؟

مانع از خروج از آن با ارائه ورودی: 

 "

به طوری که منبع صفحه خواهد شد: 


    " "" [19659004] صفحه تجزیه می شود،   من در    در DOM نخواهد بود.  (HTML که بعد از آن شکسته خواهد شد، اما از آنجا که HTML تجزیه می شود از بالا به پایین، loadload من آن را به DOM، پس چه کسی مراقبت؟) 






 شما این را در این سوال: 




  
 به راحتی می توان کسی را تشخیص داد که تلاش می کند از این زمینه غیر برنامه نویسی خارج شود، زیرا برچسب باید ظاهر شود. 





 اما این بدان معنی است که در هیچ شرایطی رشته "" به عنوان متن در هر نقطه به عنوان اینترنت به نظر می رسد یک مشکل است. اگر اگر مثلا می خواستید یک وبلاگ بنویسید که چگونه از این ویژگی استفاده کند؟

</p> <pre>html - چه چیزی ما را متوقف می کند از استفاده از برچسب برای متوقف کردن XSS؟<br />

نوشته‌شده در

مجوز XSS بدون تگ های HTML

کدام بار را می توان برای استفاده از XSS بدون استفاده از تگ های HTML <> استفاده کرد. این برچسب ها فیلتر شده اند (sanitized) و در خروجی کد گذاری می شوند.

نوشته‌شده در

html – Bypass for =، &،؟، و +

نشانی اینترنتی https: //████████████████/█████؟ blank =

وقتی ورودی (به عنوان مثال):

  • https: //████████████████/█████ خالی = 123456 بعدا می بینم:
    اینجا را کلیک کنید

  • https: //████████████████/█████؟ خالی = 123 (foo = bar = baz) بعدا می بینم:
    اینجا را کلیک کنید

  • https: //████████████████/█████؟ blank = 123 & 456 بعدا می بینم:
    توضیحات تصویر را اینجا وارد کنید

اما این درخواستها برای جستجو در سایت کار نمی کنند. اگر من فقط URL بدون پارامتر را باز کنید؟ خالی مانند آن ((19459003) https: //████████████████/█████ ) و ورودی 123 (foo = bar = baz) در جعبه جستجو، URL بعدی شما را دریافت خواهد کرد:

  • https: //█████████.com /"████؟q_query=123(foo٪3Dbar٪3Dbaz)&...[[]19659008]enter image description here "/>

My Q: چگونه برای دور زدن برای = و & برای نمونه های 2 و 3

</p> <pre>html - Bypass for =، &،؟، و +<br />