现在我们在网上随便搜索都能出现废话生成器的字眼,这些天闲的没事,我也去看了一下
随便输入一点东西进去
果然是xss注入
成因:
没有网络请求 使用innerhtml 导致漏洞出现
全网:
网上其他的生成器是不是也是一样 ,如我所料 基本都是一样的 都存在DOM型xss
防范:
对于用户的输入要回显在网页上,除了服务器要使用HTML编码外,在本身js尽量避免使用innerHTML,而是用innerText
不过也没什么事 我纯属狗拿耗子多管闲事了
现在我们在网上随便搜索都能出现废话生成器的字眼,这些天闲的没事,我也去看了一下
随便输入一点东西进去
果然是xss注入
成因:
没有网络请求 使用innerhtml 导致漏洞出现
全网:
网上其他的生成器是不是也是一样 ,如我所料 基本都是一样的 都存在DOM型xss
防范:
对于用户的输入要回显在网页上,除了服务器要使用HTML编码外,在本身js尽量避免使用innerHTML,而是用innerText
不过也没什么事 我纯属狗拿耗子多管闲事了