是否可以发送XSS攻击,如果是服务器过滤器,但是< {space} tag>允许并发回?似乎浏览器不采取<标签>作为HTML标记:(
服务器仅更改输入。 (点)到,(逗号)和过滤器
感谢。
答案 0 :(得分:0)
仍然可以进行属性攻击(打破html属性并添加javascript事件处理程序)。
答案 1 :(得分:0)
如另一个答案所述,还有许多其他方式可以发生XSS攻击。好的资源是
https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
https://www.owasp.org/index.php/Testing_for_Cross_site_scripting
具体示例:
<b onmouseover=alert('Wufff!')>click me!</b>