我正在研究XSS预防作为前端工程师。
根据OWASP document,应从用户输入中过滤以下代码。但是当我在我的chrome和safari浏览器中测试它时,它似乎不起作用。
<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
现在的浏览器禁止这样做吗?
答案 0 :(得分:1)
我认为这是旧版Internet Explorer(版本6 IIRC)中的攻击媒介。
如果您的任何用户仍在使用旧浏览器,或者浏览器供应商出于任何原因重新引入此功能,则禁止此操作仍然是一种好习惯。
我found a reference for this here:
在IE 6中,javascript伪方案在任何URI中执行。
<input style="background: url(javascript:alert(1))">