html标签中onclick 嵌套单双引号及XSS的处理方法

最新推荐文章于 2024-06-23 21:52:49 发布
最新推荐文章于 2024-06-23 21:52:49 发布
阅读量3.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liduanwh/article/details/87650550
版权

οnclick="updateCategory(event, '${fn:replace(fn:replace(e:forHtmlContent(item.key), "'", "\\'"), '"', '"')}');"

item.key的内容为 test <IMG SRC=# οnmοuseοver="alert('test')">

注意几点

1. <%@ taglib uri="https://www.owasp.org/index.php/OWASP_Java_Encoder_Project#advanced" prefix="e" %> 防止XSS

2. 双引号替换成\" 在html标签中无效,因为\转义是javascript中的用法,但是替换成转义字符就可以,html会渲染成双引号

3. 单引号换成&apos;则不行,因为onclick中实际是javascript,这时候就要用javascript的方法

liduanwh
关注
onClickhtml 引号+双引号:传参的转义问题
weixin_46100406的博客
11-04 785
示例: var data=“111”; 1.外部双引号: var html="<div οnclick=\"showData(' " + data + " ')\">AAA</div>"; 2.外部引号: var html='<div οnclick="showData(\' ' + data +' \')">AAA</div>'; 注意点:需要用转义字符 ...
HTML标签,当onclick属性的javascript传入的参数包含引号或者双引号时,会包JS错误。
依然饭特稀的博客
07-05 6475
                  在HTML标签,当onclick属性的javascript传入的参数包含引号或者双引号时,会包JS错误。例如:&lt;input onClick="doSomething('${param}');" type="button" /&gt;当后台传来的param字符串带有引号或者双引号时,IE6在载入页面时直接报错,FF载入页面虽然没有报错,但是点击按钮...
XSS跨站攻击漏洞
zhuge_long的专栏
06-23 1318
xss全称为:Cross Site Scripting,指跨站攻击脚本,XSS漏洞发生在前端,攻击的是浏览器的解析引擎,XSS就是让攻击者的JavaScript代码在受害者的浏览器上执行。XSS攻击者的目的就是寻找具有XSS漏洞的网页,让受害者在不知情的情况下,在有XSS漏洞的网页上执行攻击者的JavaScript代码。XSS是提前埋伏好漏洞陷阱,等着受害者上钩。既然攻击者是执行JavaScript代码,所以攻击的语句应该能让JavaScript运行。第一种 反射型。
html 拼写onclick 事件,转义英文引号和双引号 防止js报错
chenzhenguo
03-26 3575
使用js 拼html 页面 并添加上onclick   传参数 到前台,可能传的参数 会出现 带有英文双引号引号,就可能导致js出问题在网上找了很多转义的方法,都有点小问题,经过不懈的摸索。找到了解决的办法记录一下  并在后台拼htmlvar name = name.replace(/"/g, '\\&amp;quot;').replace(/'/g, '\\&amp;#039;'); //n...
页面onclick事件引号问题
weixin_30904593的博客
07-17 696
第一种:htmlonclick调用事件 <p id="txt" onclick="changeSize()">加括弧的changeSize()</p> 必须加引号 第二种:jsonclick调用事件 document.getElementById("txt").onclick = changeSize; 必须不加引号 第三种:js动态生成htmloncl...
【安全】P 4-10 HTML事件XSS
Z_David_Z的博客
02-18 290
目录0x01 HTML事件介绍0x02 XSS漏洞发现0x03 闭合思路分析0x04 Payload触发XSS漏洞 0x01 HTML事件介绍 在现代浏览器都内置有大量的事件处理器。这些处理器会监视特定的条件或用户行为,例如鼠标击或浏览器窗口完成加载某个图像。通过使用客户端的 JavaScript,可以将某些特定的事件处理器作为属性添加给特定的标签,并可以在事件发生时执行一个或多个 JavaScript 命令或函数。 0x02 XSS漏洞发现 设置独一无二字符串提交,在响应寻找。 0x03 闭合
关于JavaScript的双引号嵌套问题
10-19
正确地处理字符串的引号,尤其是双引号嵌套的情况,是编写有效JavaScript代码的一个重要方面。在JavaScript处理字符串时,引号和双引号嵌套规则相对简,但如果不了解这些规则,很容易犯错。 首先,需要...
升级补丁tongWeb7.0.4.2-3双引号标签问题.zip
11-03
这个补丁“升级补丁tongWeb7.0.4.2-3双引号标签问题”旨在修复这些错误,通过更新服务器的源代码或配置,确保服务器能够正确处理含有嵌套引号的标记,无论这些标记是用户输入的还是应用程序自动生成的。...
JavaScript 限制文本框不可输入英文双引号方法
10-20
总的来说,这种方法有效地阻止了用户在文本框输入英文的双引号。然而,需要注意的是,这种方法并不完美。例如,它不会阻止用户通过复制粘贴的方式输入引号。为了更全面地限制输入,可以考虑使用`onpaste`事件...
正则表达式匹配闭合HTML标签(支持嵌套)
10-15
平衡组类似于编程语言的堆栈结构,能够记录标签的打开与关闭,从而正确匹配嵌套标签对。例如,对于一个起始标签,我们可以将其加入堆栈,而对于相对应的闭合标签,则从堆栈移除。通过检查堆栈是否为空,我们...
JS混写HTML使用onclick传递参数引号的用法
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
05-20 667
一、直接传递参数的写法: var html = ""; html += "<a href=\"#\" οnclick=\"javascript:getMenu('营子社区');\"> <div id=\"area1\" class=\"area\">营子社区</div></a>"; getMenu(‘营子社区’),直接写入值即可。 二、包含变量的函数参数的写法: var menuHtml = ""; menuHtml += "<div id=\"gh2
测试xss
weixin_40984822的博客
09-25 340
xss链接点击触发?? onmouseover='alert(123)' 点击触发??
XSS基础
m0_65041566的博客
05-25 338
目录 什么是Xss 利用方法 分类 1.反射型(最多,最常见) 2.Dom型 3.存储型 构造xss语句: Dom型和反射型的区别: Cookie cookie和session 跨域请求 同源协议:同端口,同协议,同域名 跨域方法 XSS攻击方式 xss平台 Xss绕过 什么是Xss 跨站脚本攻击(跨域脚本攻击) 利用方法 窃取用户cookie 获取用户浏览器信息 网页挂马/篡改页面信息 记录用户键盘输入 XSS蠕虫(在客户端提交的时候绕过过滤
XSS测试之闭合的正确使用方式
u014171100的博客
12-16 5595
在测试XSS漏洞的时,不少同鞋会从大量Payload随便挑选几个顺眼来尝试,没有弹窗就放弃了,这种方法并不是很科学,一些稍微隐秘点的XSS基本都能逃过这样的检查。下面我将从XSS的本质讲起,给各位分享一下我的XSS测试方法XSS属于注入类漏洞,其本质是:在前端代码用户可以控制内容的地方(简称可控点),拼接上一段可被浏览器执行的新语句。这里可被浏览器执行是关键,不管你正在测试的点是否有漏洞,首先拼接上去的脚本同上下文看来,需要一定程度的符合前端代码的语法结构。 ...
unicode绕过过滤触发XSS
一米八多的瑞兹的博客
04-19 443
1. unicode介绍 Unicode(统一码、万国码、一码)是计算机科学领域里的一项业界标准,包括字符集、编码方案等。Unicode 是为了解决传统的字符编码方案的局限而产生的,它为每种语言的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。 使用python将字符转换为unicode类型。 2. XSS挖掘 构造无害独一字符串,在响应在寻找该字符串。 3. 双斜杠+unicode绕过 双斜杠+unicode绕过 4. Payload触发XSS Payload
XSS过滤绕过
qq_39654116的博客
01-17 5281
目录过滤测试示例输入在script标签非常规的事件监听HREF内容可控变换JavaScript变换Vbscript变换输入在属性里JSONSVG标签浏览器bug常见标签利用link远程包含js文件javascript伪协议属性payload常用的payload各种alert伪协议Chrome XSS auditor bypass长度限制jquery sourceMappingURL图片名过期的payloadcssmarkdowniframeformmeta绕过过滤空格大小写混淆双写绕过字符拼接编码绕过编码
网络安全(2) -- 关于一次XSS攻击-图片(img标签)的onerror事件
热门推荐
TaneRoom的博客
11-08 2万+
记一次XSS实战攻击
xss攻击 html代码,常见的XSS攻击代码
weixin_35671110的博客
06-07 2077
第一类:在html标签事件触发,典型的是on*事件,但是这种触发模式的缺陷在于不能直接触发所以更多的需要配合使用。eg:1.使html元素占据整个显示页面 2.增加属性触发事件 3.自动触发事件在真实环境,‘ 、" 、( 、) 都是属于黑名的成员,如果遇到以上四个字符被过滤的情况,那么我们就需要使用其他字符去代替,或者编码的方式去绕过。eg:1.不使用 " 2.不使用 ‘ 3.不使用...
xsshtml标签,可以被XSS利用的HTML标签和一些手段技巧
weixin_42395725的博客
06-18 1483
XSS让我们在渗透有无限的可能,只要你发挥你的想象。 引用一位前辈总结的很贴切的一句话——“XSS使整个WEB体系变得具有灵性”。网上关于XSS的教程数不胜数,转载来转载去的,就是那么些Payload,可能看的人晕晕的不知所以然。而且还有很多Payload就算把其HTML代码闭合后写在自己的前端,都不一定触发,因为很多老的标签和事件都已经被W3C给废弃了。本文首先给大家总结一下目前通用...
python 字符串含有双引号是怎么处理的?
最新发布
09-12
4. 使用字符串格式化:字符串格式化方法如.format()或f-strings(Python 3.6+)也可以处理含有双引号的字符串: ```python single = 'single' double = "double" print(f"This is a string with '{single}' ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值