XSS
文章平均质量分 83
9ian1i
我就是发点东西怕忘了
展开
-
基于localStorage的本地存储XSS
0x00 什么是localStorageHTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。 顾名思义: sessionStorage 是针对session的数据存储,关闭窗口后删除。 localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP。0x01 什么是基于localStorage的XSS现在越原创 2017-02-16 16:21:58 · 4886 阅读 · 0 评论 -
XSS防御相关—HTML和JavaScript的自解码次序
我们对XSS的防御办法一般会采取针对关键敏感字符进行编码的方式,被称为XSS终结者的CSP先暂且不提,大部分人都会采用htmlencode的方式来限制危险字符输出,但这真的足够了吗?在web2py(python的Web框架)的安全文档中说将所有变量在视图层进行eacape,可以防御XSS,看似好像并没有什么不对,但如果出现以下情况呢?<a href=# onclick="alert('$var');原创 2016-09-16 01:01:57 · 1559 阅读 · 0 评论 -
有关DOM XSS的一点思考
前段时间发现了某站的一个DOM XSS漏洞,发到补天说无法复现,我开始琢磨其中的问题。我们首先大致还原一下场景:例子一:<!DOCTYPE html><html><head> <title>xss test</title></head><body> <div id="xss"> </div></body><sc原创 2016-08-30 21:26:31 · 1404 阅读 · 0 评论