收录一下这篇文章,里面包含了各类xss的绕过方法
我的富文本过滤器全部可以过滤,屏蔽所有不安全的代码。
不过个别地方比较粗暴,比如flash的action script挂马,我直接禁用了embed标签的src属性
css的@import,<script src>,<iframe>等也直接禁用
href="javascript:",css的url('javascript:'等也直接禁用
还禁用了一些东西,就不一一列举了
收录一下这篇文章,里面包含了各类xss的绕过方法
我的富文本过滤器全部可以过滤,屏蔽所有不安全的代码。
不过个别地方比较粗暴,比如flash的action script挂马,我直接禁用了embed标签的src属性
css的@import,<script src>,<iframe>等也直接禁用
href="javascript:",css的url('javascript:'等也直接禁用
还禁用了一些东西,就不一一列举了