我知道XSS攻擊者使用文本框將腳本注入頁面。我想知道是否可以在表單中使用範圍內的腳本,p,標籤元素,並將其注入到頁面中。我們應該試圖通過標籤來防止這種攻擊嗎?XSS攻擊者可以使用span,p,label ...標籤
2
A
回答
3
您需要記住的是,XSS漏洞僅僅發生在不受信任的,未驗證的和未轉義的數據在網頁的任何位置呈現。這包括JavaScript,CSS和字面上HTML體內的任何地方。
如果您要生成完整的HTML元素來設置屬性,並不重要,因爲XSS很容易脫離它想要呈現的標記並插入自己的標記。
2
不限 HTML元素易受XSS攻擊,特別是如果動態生成從用戶輸入HTML元素。
0
備註:如果您使用的是UI庫,知道您傳遞給UI組件的用戶輸入是呈現爲HTML還是純文本 - 這很重要,因爲您只需要轉義用戶輸入即傳遞給實際呈現爲HTML輸入的組件。
相關問題
- 1. 標題標籤中的XSS攻擊
- 2. XSS攻擊得到可變
- 3. 我可以在p外使用span標籤嗎?
- 4. 我需要在HTML標籤屬性,以防止XSS攻擊
- 5. 可以使用window.location進行哪些XSS攻擊
- 6. XSS攻擊防範
- 7. 我可以通過使用會話阻止XSS攻擊嗎?
- 8. XSS攻擊防護
- 9. 防止XSS攻擊
- 10. 防止XSS攻擊
- 11. 跨站點腳本攻擊(xss)攻擊
- 12. 可以從鏈接的樣式表中執行XSS攻擊嗎?
- 13. 使用.htaccess預防XSS攻擊
- 14. 如何使用防XSS攻擊
- 15. Antisamy或內容安全策略或兩者都可以阻止XSS攻擊
- 16. 檢測DOM XSS攻擊
- 17. SQL注入/ XSS攻擊可能與preg_replace?
- 18. 檢查模式以避免XSS攻擊
- 19. 以下錯誤日誌xss攻擊?
- 20. 轉義<足以防範XSS攻擊
- 21. 獲取p標籤內使用span標籤時
- 22. 防止WCF調用中的XSS攻擊
- 23. 內容代碼HTML標籤XSS容易受到攻擊嗎?
- 24. 我可以使用div標籤中span標籤在HTML5
- 25. 防止xss攻擊/注入
- 26. XSS DOM易受攻擊
- 27. 防止Javascript和XSS攻擊
- 28. CakePHP的:防止XSS攻擊
- 29. AJAX XSS攻擊和.Net MVC
- 30. Json.Net Wrapper防止Xss攻擊
XSS可以在任何地方**在HTML頁面中。 – BoltClock