XSS——HTMLParser对html标签进行正确拼接和校正不配对的标签

最新推荐文章于 2024-08-24 09:57:22 发布
最新推荐文章于 2024-08-24 09:57:22 发布
阅读量903 收藏
点赞数 1
分类专栏: js 文章标签: HTMLParser dom parser
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38134431/article/details/84953785
版权

首先我们来看一个字符串,然后经过HTMLParser得到的最终字符串(经过校正,过滤):
需要校正和过滤的字符串:
<p id=test onclick='alert(11)'>hello <i>world<script>alert(2222)<\/script>
校正过滤后的字符串:
<p id="test">hello <i>world</i>alert(2222)</p>

HTMLParser的api地址:
https://github.com/blowsie/Pure-JavaScript-HTML5-Parser

HTMLParser相关js地址:(需要引入js才能使用)
https://github.com/blowsie/Pure-JavaScript-HTML5-Parser/blob/master/htmlparser.js

HTMLParser(str,option);
需要传入两个参数,str代表html字符串代码,option为它的api配置,根据下面的代码写入即可。各方法的内容体根据实际需求修改。

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>HTMLParser</title>
    <script src="htmlparser.js"></script>  <!-- 需要引入htmlparser.js -->
</head>
最低0.47元/天 解锁文章
winne雪
关注
专栏目录
HTML和CSS入门指南」a 标签详解
a451319296的博客
06-04 6890
标签HTML 中用于定义超链接的标签,可以用来实现网页间的跳转、下载文件等功能,并且可以与其他 HTML 元素配合使用。通过灵活运用 标签和属性,我们可以帮助用户更好地浏览页面内容,同时也可以美化和装饰页面。在实际应用中需要注意遵循 HTML 的规范,合理设置各种属性,并且避免滥用嵌套其他元素。
xss 输出进行html编码,【XSSxss输出点总结
weixin_28994357的博客
06-28 922
0x01 HTML标签之间例如输出点:[输出]直接提交alert(1)即可触发XSS,但是当标签是不能执行脚本的标签(总结http://www.jianshu.com/p/211f75b73520),那么就得先把那个标签闭合,然后在注入XSS语句,例如alert(1)0x02 HTML标签之内例如输入点:两种方法:闭合属性,然后用on时间来触发脚本" onmouseover=alert(1) x=...
xsshtml标签,可以被XSS利用的HTML标签和一些手段技巧
weixin_42395725的博客
06-18 1509
XSS让我们在渗透中有无限的可能,只要你发挥你的想象。 引用一位前辈总结的很贴切的一句话——“XSS使整个WEB体系变得具有灵性”。网上关于XSS的教程数不胜数,转载来转载去的,就是那么些Payload,可能看的人晕晕的不知所以然。而且还有很多Payload就算把其中的HTML代码闭合后写在自己的前端中,都不一定触发,因为很多老的标签和事件都已经被W3C给废弃了。本文首先给大家总结一下目前通用...
html】非配对标签
10-31 279
在模板html文件中写了<meta>标签,就会出现这个,删掉template中的meta就可以了。 转载于:https://www.cnblogs.com/zuoyaoAC/p/6016364.html
HtmlParser:高效PHP HTML解析工具
最新发布
gitblog_00376的博客
08-24 585
HtmlParser:高效PHP HTML解析工具 html-parserphp html parser,类似与PHP Simple HTML DOM Parser,但是比它快好几倍项目地址:https://gitcode.com/gh_mirrors/ht/html-parser 在Web开发的世界中,HTML解析是一个常见且重要的任务。无论是数据抓取、内容分析还是网页自动化,一个高效且易用的...
标签属性中的XSS
一米八多的瑞兹的博客
02-22 530
标签属性中的XSS 1. 配置Chrome关闭XSS-Auditor https://xss-quiz.int21h.jp/ 利用XSS过程中会出现下图情况。配置Chrome --args --disable-xss-auditor 2. 属性中的XSS发现 技巧:ctrl+F 搜索特定字符串 3. 属性中的XSS闭合引入script 闭合引号 尖括号,引入script脚本 “><script>alert(document.domain);</script> 4. 属
php防止xss攻击,过滤不正常的所有html标签和脚本
qq_42289686的博客
03-17 669
先安装扩展支持 composer require lincanbin/white-html-filter 然后自己创建一个过滤的类 <?php namespace xss; use lincanbin\WhiteHTMLFilter; class xss { public function parse($uedata) { $filter = new ...
html parser c3,XSS语义分析的阶段性总结(二)
weixin_39959369的博客
07-06 111
classMyHTMLParser(HTMLParser):defhandle_starttag(self, tag, attrs):print( "Encountered a start tag:", tag)defhandle_endtag(self, tag):print( "Encountered an end tag :", tag)defhandle_data(self, data):...
js-xss:使用白名单指定的配置对不受信任HTML进行清理(以防止XSS
02-27
使用白名单指定的配置对不受信任HTML进行清理(以防止XSS)。 xss是用于过滤用户输入以防止XSS攻击的模块。 ( ) 项目主页: : 在线尝试: : 特征 指定HTML标记及其白名单允许的属性 使用自定义功能处理所有...
jQuery源码分析之parseHTML方法
高山上的鱼
10-28 3562
请首先阅读buildFrament以及正则表达式相关源码 源码如下: //将字符串转化为节点数组!通过log可以知道 var rsingleTag = (/^(?:|)$/); jQuery.parseHTML1 = function( data, context, keepScripts ) { if ( !data || typeof data !== "string" ) { re
XSS漏洞的HTML和JS基础
2301_80361487的博客
01-23 754
HTML 标签的大小写无关的,例如 和 表示的意思是一样的,都代表“主体”,推荐使用小写。1.事件(Event)是JavaScript应用跳动的心脏,也是把所有东西粘在一起的胶水,当我们与浏览器中 Web页面进行某些类型的交互时,事件就发生了。 //HTML文档的元数据,机器可读,如">test //标题标签 ,位于页面最上方定义浏览器工具栏中的标题。
burpsuite靶场系列之客户端漏洞篇 - 跨站脚本(XSS)专题
weixin_50464560的博客
04-14 3345
https://www.anquanke.com/post/id/245953 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。 客户端漏洞篇介绍 相对于服务器端漏洞篇,客户端漏洞篇会更加复杂
关于HTML 代码注入,XSS攻击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
xss攻击解析
落枫秋歌
09-17 887
XSS攻击(Cross site Scripting),跨站脚本攻击,通过插入恶意脚本并在用户浏览页面时主动或者被动触发的一种攻击方式;XSS一般分为反射型和存储型;反射型反射型XSS攻击是为形象描述它的路径而产生的名称,指的是恶意脚本以查询字符串的形式在用户发出请求时的URL中,提交给服务器后服务器会进行相应的解析,然后将带有XSS代码的响应返回给浏览器,浏览器会解析响应中的XSS并执行;这个过程
XSS与字符编码的那些事儿
ABC-II
11-22 6350
0x00基本介绍 提起XSS 想到的就是插入字符字符编码与各种解析了! 这也就是各种xss编码插件跟工具出世的原因!之前不懂浏览器是如何对我们编码过的代码进行解析的时候就是一顿乱插! 各种编码 各种插 没把编码还原就算了 还原了就算运气好!后来到PKAV经过二哥和短短的调教后才算是弄清楚了一点编码与解析方面的知识! 现在也算是运用自如了把! 现在介绍一下在xss
XSS(跨站脚本攻击)多姿势绕过滤思路
ElsonHY的博客
11-17 1273
XXS(跨站脚本攻击)多姿势绕过滤思路0x01 什么是XSS?0x02 XSS的危害0x03 XSS类型0x04 多姿势绕过1.基本的xss2.大小写绕过、字符拼接3.解锁更多姿势4.转义字符的排除0x05 其他情况0x06 总结 0x01 什么是XSS? 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击主要针对的是客户端的攻击。 0x02 XSS的危害 XSS能实现的的攻击有很多,一般攻击水平是取决
XSS 常用标签及绕过姿势总结
hackzkaq的博客
08-17 6128
A位置可填充 /,/123/,%09,%0A,%0C,%0D,%20 B位置可填充 %09,%0A,%0C,%0D,%20 C位置可填充 %0B,/**/,如果加了双引号,则可以填充 %09,%0A,%0C,%0D,%20 D位置可填充 %09,%0A,%0C,%0D,%20,//,>例如 javascript:alert(1) ,进行 Unicode 编码时,只能对 alert 和 “1” 进行编码,框号编码后会被当成文本字符,不能执行。...
HTML.parser和正则解析,HTMLParser 的实现和使用
weixin_42297727的博客
05-30 1145
1. 概览HTMLParser 在很多地方都有它施展拳脚的地方, 例如在 Vue 中, Vue 把 template 模板字符串编译成 render 函数的过程就用到了 HTMLParser.要注意的一点是, HTMLParser 做的工作是解析字符串并把参数传递给回调函数, 后续要执行什么操作全部依赖于传入的options中的start end comment chars等钩子函数1.1 一般的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值