我只是想知道,有没有人知道一个用例没有逃避&到&导致Cross Site Scripting漏洞?我想到了,但无法想出一个例子。
提前致谢 Konne
答案 0 :(得分:1)
你可以试试这样的事情
&安培; #39; +警报(1)+&安培; #39;
今天早些时候正在搜索search.twitter.com。
https://twitter.com/#!/kinugawamasato/status/38539726470397952
答案 1 :(得分:0)
很大程度上取决于注射的位置,但一个简单的例子就是
<a href="javascript:alert(1)">XSS</a>
这是一个html编码的有效负载javascript:alert(1),它将在单击XSS链接时触发。这也可以在iframe src,document.location =,window.open()或其他方法中使用,这些方法会导致html编码的有效负载被解码然后执行。
另一个例子是登陆onevent,它反映了注入URL,例如
<a onclick='http://www.foo.com?injection='*alert(1)*''>XSS</a>
html编码的有效负载将被解码,突破onevent语法并触发注入的javascript。