标签: javascript html security xss
我正在https://www.owasp.org阅读一篇关于XSS过滤器规避的文章。本文中介绍的查找漏洞的方法之一是尝试注入以下内容:
'';!--"<XSS>=&{()}
然后,如果文档源中存在标记,与&lt; XSS&gt;相反,则该网站易受XSS攻击。为什么上面的代码段会绕过某些XSS并转义过滤器?
答案 0 :(得分:0)
该代码段尝试脱离属性和标签,此外还嵌入了自己的tag。您应该在GUI中寻找HTML的消失或格式错误,或者JavaScript中的错误。