现在我正在学习Web安全性,XSS等.由于XSS基本上是通过注入一些恶意代码来定位客户端代理(Web浏览器),这些恶意代码是由经过身份验证的用户插入的Web浏览器执行的.现在的问题是为什么我们不能在html中有一个标签只显示文字并阻止其中的任何内容的执行?
就像是:
<!-- The code below will not be executed and just treated as literal content by a web browser -->
<ltrl>
<script type="text/javascript">alert('You have been xssed');</script>
</ltrl>
所以,如果我在html中有这样的东西,那么它就显示为
<script type="text/javascript">alert('You have been xssed');</script>
在网络浏览器中.
假设攻击者提供的文本内容为:
</ltrl>
<script type="text/javascript">alert('You have been xssed');</script>
<ltrl>
总标记将是
<ltrl>
</ltrl>
<script type="text/javascript">alert('You have been xssed');</script>
<ltrl>
</ltrl>
你的辩护已被轻易破坏.
| 归档时间: |
|
| 查看次数: |
151 次 |
| 最近记录: |