Javascript 试图在网站上的表单中插入JS?-警报(';TK00000025';)
我在2分钟内就收到了20份在我的网站上发布的表格。填写的唯一字段是Javascript 试图在网站上的表单中插入JS?-警报(';TK00000025';),javascript,php,forms,Javascript,Php,Forms,我在2分钟内就收到了20份在我的网站上发布的表格。填写的唯一字段是alert('TK00000025'),每次提交都会将此数字增加到alert('TK00000036')。该字段在表单之间切换,因此一个表单的名称部分包含该字段,而下一个表单的电子邮件部分包含该字段。在此之后,有四个空白条目 这是什么?为什么会发生?有什么我应该做的来防止它吗?一般来说: 1) 除非在允许的位置,否则切勿插入不受信任的数据 2) 将不受信任的数据插入HTML元素内容之前的HTML转义 3) 将不受信任的数据插入HT
alert('TK00000025')
,每次提交都会将此数字增加到alert('TK00000036')
。该字段在表单之间切换,因此一个表单的名称部分包含该字段,而下一个表单的电子邮件部分包含该字段。在此之后,有四个空白条目
这是什么?为什么会发生?有什么我应该做的来防止它吗?一般来说:
1) 除非在允许的位置,否则切勿插入不受信任的数据
2) 将不受信任的数据插入HTML元素内容之前的HTML转义
3) 将不受信任的数据插入HTML公共属性之前的属性转义
4) 将不受信任的数据插入JavaScript数据值之前的JavaScript转义
5) HTML在HTML上下文中转义JSON值,并使用JSON.parse读取数据
- JSON实体编码
- HTML实体编码
参考资料:这是一种针对您的站点的自动跨站点脚本攻击。我会检查以确保它没有成功,但是如果你的网站正确地清理了输出,你不必担心。也许像recaptcha这样的东西可以帮助你。谢谢你们,知道这一点非常有帮助。我现在知道这是一个尝试性的黑客行为,但有人能解释一下它试图做什么吗?我想更详细地了解TK00000025的作用。我的第一个猜测是,这是一个随机字符串,不太可能由用户输入。如果表单提交后加载的“success”事件/页面/任何内容导致JavaScript警报中出现“tkxxx”,则攻击者知道他们可以在您的站点上运行自己喜欢的任何JavaScript,在您查看提交内容(并登录到站点)时,可能会向您发送。因此,xss。