我有一个网页http://www.example.com/errorpage.html?errmsg="Some error string"
然后将此错误字符串呈现到<p class="error">Some error string</p>时尚服务器端的网页中,然后将HTML发送到客户端。
我一直在尝试过去,看看我是否可以逃脱这一点并改变标记而没有成功。
是否可能,或页面是否安全。
由于 -Mitchell
答案 0 :(得分:3)
This site有一个非常全面的CSS / XSS漏洞列表,以及具体示例。允许通过查询参数呈现错误消息是非常可疑的,即使这些向量都不起作用,也不能保证将来不会出现某些向量。