如果我使用xss,输入ALERT('DSSA');或者只是将其粘贴到搜索文本字段之间有什么区别?在一个站点中,键入工作,并发出警报,但如果我只是粘贴它,而不是它。为了防止这个问题,我不想破解任何网站,我只是对网络安全感兴趣。
感谢您的回答
答案 0 :(得分:2)
这是因为构建网站的程序员很懒,并且没有收听onpaste事件。
键入会触发onkeydown,onkeypress和onkeyup事件,并且是在观看用户输入时要考虑的标准事件。
这似乎是程序员听过的唯一事件(这使得这与网络安全无关)。
如果不是这样,那么他将为事件使用两个不同的事件处理程序;一个逃避输入,另一个忘记了。
答案 1 :(得分:1)
我可能没有正确理解这个问题。
键入会触发元素上的keyUp,keyDown和keyPress个事件。如果代码被编程为仅捕获它们,那么只会捕获那些事件。
可以使用键盘,鼠标和浏览器选项进行粘贴。所以这取决于你正在听哪些事件。有一个名为 onpaste 的单独活动,可以放松一切。
我的意思是,假设我的代码是为了捕获粘贴我只按“Ctrl”+“v”,但如果使用鼠标和浏览器选项粘贴在 元素,然后它配置为捕获鼠标事件,它不能 被捕获。