频道栏目
读书频道 > 安全 > Web前端黑客技术揭秘
2.4.3 HTML内嵌脚本执行
2020-04-04 09:53:49     我来说两句
收藏   我要投稿

本文所属图书 > Web前端黑客技术揭秘

Web 前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web 前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash 安全、...  立即去当当网订购

JavaScript脚本除了出现在JS格式文件里,被嵌入而执行外,还可以出现在HTML的<script></script>标签内、HTML的标签on事件中,以及一些标签的href、src等属性的伪协议(javascript:等)中。

如下几个例子:
<script>alert(1)</scipt>
<img src=# onerror="alert(1)" />
<input type="text" value="x" onmouseover="alert(1)" />
<iframe src="javascript:alert(1)"></iframe>
<a href="javascript:alert(1)">x</a>

这样导致防御XSS变得有些棘手,出现在DOM树的不同位置,面对的防御方案都不太一样。这也为攻击者提供了很大便利,能够执行JavaScript的位置越多,意味着XSS发生的面也越广,XSS漏洞出现的可能性也越大。

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.4.2 iframe内嵌出一个开放的世界
下一篇:2.5 跨站之魂——JavaScript
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 第一门户--致力于做实用的IT技术学习网站