當使用window.location
和用戶輸入數據重定向時,可以完成哪些XSS攻擊。可以使用window.location進行哪些XSS攻擊
我覺得這那些
- 用戶可以編寫與包含
http://
因此最終用戶在一個糟糕的位點處結束了職務任職。 - 用戶可以寫一個標題爲「
javascript:EvilCode()
」的帖子我認爲這會在某些瀏覽器中執行?
當使用window.location
和用戶輸入數據重定向時,可以完成哪些XSS攻擊。可以使用window.location進行哪些XSS攻擊
我覺得這那些
http://
因此最終用戶在一個糟糕的位點處結束了職務任職。javascript:EvilCode()
」的帖子我認爲這會在某些瀏覽器中執行?如果您不首先對數據進行URL編碼,則可能允許使用XSS。
我知道,你知道什麼類型的XSS?我只能想出執行evilCode並重定向到另一個網站。 –
看看這個鏈接,它經歷了所有常見類型的XSS以及如何防範它們。 –
'window.location.href = Post_Title;'沒有任何意義,因爲帖子標題不是網址?如果帖子標題只是網址的一部分,則無論如何您都必須對網址進行編碼 –
嗯,也許是一個蹩腳的例子。但重點是它可能是執行代碼的URL,或將用戶重定向到另一個頁面。 –
URL編碼有什麼困難?甚至PHP和JavaScript都有內置的這些功能。 –