Javascript XSS可以工作,但只有一个字
也许这是个奇怪的问题,但我会尽力解释清楚。目前我正在测试一个网站,用于xss跨站点脚本。 首先,我尝试了alert1,结果是[removed]alert1[removed],但是 我只是好奇,为什么打印helloworld有效而helloworld无效 由于混乱的HTML,空间启动了另一个属性 看看Chrome的inspector,突出显示的语法清楚地说明了发生了什么:Javascript XSS可以工作,但只有一个字,javascript,php,sql,xss,Javascript,Php,Sql,Xss,也许这是个奇怪的问题,但我会尽力解释清楚。目前我正在测试一个网站,用于xss跨站点脚本。 首先,我尝试了alert1,结果是[removed]alert1[removed],但是 我只是好奇,为什么打印helloworld有效而helloworld无效 由于混乱的HTML,空间启动了另一个属性 看看Chrome的inspector,突出显示的语法清楚地说明了发生了什么: <input onfocus=alert("test lol") autofocus> 变成: Chrome试图
<input onfocus=alert("test lol") autofocus>
变成:
Chrome试图修复HTML,lol成为另一个属性。我不知道自动对焦到哪里去了。。。与网站的XSS保护无关或缺乏XSS保护,只与浏览器如何解释糟糕的HTML有关。您需要发布代码,我们无法猜测您在做什么。它会将文本放入DOM源中,还是会向其发出警告?属性值应该被引用,所以在第一个单词之后,它可能不再考虑属性值。这似乎与PHP无关。很抱歉,我将在稍后添加页面示例。好的,我已将其添加到问题中,所以有人知道了吗?@JelmerdeVries您没有提供代码。转义代码的后端代码很重要,而不是前端,而且您使用的屏幕截图对我们来说完全没有用处。但是为什么alertdocument.cookie不起作用呢?哦,现在我明白了,这是一个非常好的答案!非常感谢!嗨,杰尔梅德弗里斯。如果这个或任何答案已经解决了你的问题,请通过点击复选标记来考虑。这向更广泛的社区表明,你已经找到了一个解决方案,并且给了回答者和你自己一些声誉。没有义务这样做。