类型:
反射型 和存储型 。
防御:
xss filter 过滤。 :
<> ,
html 的标签属性, 比如background 低版本ie 会执行该 伪js
空格回车 tab
转码
js 事件,比如img src error 事件。
css 标签 如 背景图片 。
大小写混淆。
拆分跨站。
shellcode
-
动态调用js ,包括写死的和动态创建 dom 元素场景的。
-
window.location.hash . 设置 页面标签值。
攻击方式:
类型:
反射型 和存储型 。
防御:
xss filter 过滤。 :
<> ,
html 的标签属性, 比如background 低版本ie 会执行该 伪js
空格回车 tab
转码
js 事件,比如img src error 事件。
css 标签 如 背景图片 。
大小写混淆。
拆分跨站。
shellcode
-
动态调用js ,包括写死的和动态创建 dom 元素场景的。
-
window.location.hash . 设置 页面标签值。
攻击方式:
攻击方式:
-
获取cookie
-
回话劫持, 区别 :cookie 是客户端的, 会话是服务器端的。
-