我已经设置了一个应用程序,以测试执行XSS attakcs的不同方法,它将添加我在文本框中编写的内容作为iframe src值的补充。
但是src中已经包含一个字符串。因此,如果我编写类似javascript:alert('123')的代码,则最终的iframe src将如下所示
<iframe src="blahblahjavascript:alert('123')>
有没有办法在该iframe内执行javascript代码? (是否要退出src?)
试图添加\ n,用引号引起来,并添加特殊的utf字符。
答案 0 :(得分:1)
总体上让用户更改iFrame源似乎是不逃避结果(至少是逃避)的安全措施。对于XSS攻击,您应该假设每个用户输入都是危险的,并进行相应处理。永远不要相信客户发送给您的任何东西。永远不要相信任何用户输入。始终要假设用户输入的内容和发送给您的内容很危险,并进行相应的处理。
它是iFrame来源还是其他来源都没关系。关键是要逃避一切。
如果我在您的文本字段中输入"><h1>XSS</h1><iframe src="怎么办?您的输入看起来像<iframe src="blahblah"><h1>XSS</h1><iframe src="">还是类似的东西?
如果是这样,我可以在其中放一个脚本标签,并使它变得更糟。