0
當使用window.location和用戶輸入數據重定向時,可以完成哪些XSS攻擊。可以使用window.location進行哪些XSS攻擊
我覺得這那些
- 用戶可以編寫與包含
http://因此最終用戶在一個糟糕的位點處結束了職務任職。 - 用戶可以寫一個標題爲「
javascript:EvilCode()」的帖子我認爲這會在某些瀏覽器中執行?
A
回答
3
如果您不首先對數據進行URL編碼,則可能允許使用XSS。
+1
我知道,你知道什麼類型的XSS?我只能想出執行evilCode並重定向到另一個網站。 –
+2
看看這個鏈接,它經歷了所有常見類型的XSS以及如何防範它們。 –
相關問題
- 1. 通過iframe src進行的xss攻擊
- 2. XSS攻擊得到可變
- 3. 我可以通過使用會話阻止XSS攻擊嗎?
- 4. XSS攻擊者可以使用span,p,label ...標籤
- 5. XSS攻擊防護
- 6. 防止XSS攻擊
- 7. 防止XSS攻擊
- 8. XSS攻擊防範
- 9. 跨站點腳本攻擊(xss)攻擊
- 10. 可以從鏈接的樣式表中執行XSS攻擊嗎?
- 11. 是否可以通過電子郵件地址進行XSS攻擊?
- 12. 使用.htaccess預防XSS攻擊
- 13. 如何使用防XSS攻擊
- 14. SQL注入/ XSS攻擊可能與preg_replace?
- 15. 檢查模式以避免XSS攻擊
- 16. 以下錯誤日誌xss攻擊?
- 17. 轉義<足以防範XSS攻擊
- 18. 防止xss攻擊/注入
- 19. XSS DOM易受攻擊
- 20. 防止Javascript和XSS攻擊
- 21. CakePHP的:防止XSS攻擊
- 22. AJAX XSS攻擊和.Net MVC
- 23. Json.Net Wrapper防止Xss攻擊
- 24. XSS在wordpress中的攻擊?
- 25. angularjs防止XSS攻擊
- 26. Meteor.js和CSRF/XSS攻擊
- 27. 檢測DOM XSS攻擊
- 28. 如何避免XSS攻擊
- 29. URL中的XSS攻擊
- 30. XSS攻擊ASP.NET網站
'window.location.href = Post_Title;'沒有任何意義,因爲帖子標題不是網址?如果帖子標題只是網址的一部分,則無論如何您都必須對網址進行編碼 –
嗯,也許是一個蹩腳的例子。但重點是它可能是執行代碼的URL,或將用戶重定向到另一個頁面。 –
URL編碼有什麼困難?甚至PHP和JavaScript都有內置的這些功能。 –