关于跨站脚本攻击问题
摘要:一般的攻击就是写一段脚本看是否能执行,就能判断是否是攻击了,比如说我写alert("执行了我了哦!!!");,然后看看当页面加载的时候是否能...
一般的攻击就是写一段脚本看是否能执行,就能判断是否是攻击了,比如说我写<script> alert("执行了我了哦!!!"); </script>,然后看看当页面加载的时候是否能执行,就行了。目前为止一般的网站这段代码都不会执行,但是换一种方式呢?
比如<SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>,估计也米有几个网站执行吧,大家都知道的。
下面看更猥琐的测试例子, '';";eval('alert('我操你大爷什么情况!')');"<X<alert(1234)>SS>=&{()} ,然后试一下上截图(没有恶意只是测试!):
http://search.360buy.com/Search?book=y&keyword=1
【关于跨站脚本攻击问题】相关文章:
★ 详解Javacript和AngularJS中的Promises
上一篇:
js DOM的学习笔记
下一篇:
JS代码优化技巧之通俗版(减少js体积)