在IE7中,如果是如下的Html写法, <img alt="" src="javascript:alert('蝈蝈俊到此一游!')" />,你看到的效果将是这个图片不存在那种情况。但是,在IE6中,则上述脚本会被执行。
CSDN新积分制论坛支持的UBB,前几天的版本就没考虑这个问题。结果害得一些IE6的用户,访问一些新论坛页面的时候,出现问题。
好在这只是在测试版新论坛出现,网友也没有写很恶意的脚本。
如果要屏蔽这个脚本,我们除了要屏蔽 javascript 外,还要屏蔽 vbscript
另外有些UBB是解析成CSS的方式,CSS的以下两个标签可以嵌入脚本,也要做屏蔽,这两个标签就是:
expression,behavior
当然,用户如果输入了单引号,双引号,你不做特殊处理的话,那个危险更大。这个危害就类似SQL注入一样的问题。
23424324