`
liss
  • 浏览: 842397 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

可能导致跨站脚本攻击的HTML标签

    博客分类:
  • HTML
阅读更多

根据微软提供的建议,我们要慎重允许下列HTML标签,因为这些HTML标签都是有可能导致跨站脚本攻击的。

以下是引用片段:
  • <applet>
  • <body>
  • <embed>
  • <frame>
  • <script>
  • <frameset>
  • <html>
  • <iframe>
  • <img>
  • <style>
  • <layer>
  • <link>
  • <ilayer>
  • <meta>
  • <object>
  •   可能这里最让人不能理解的是<img>。但是,看过下列代码后,就应该明白其危险性了。

    以下是引用片段:
    <img src="javascript:alert('hello');">
    <img src="java&#010;script:alert('hello');">
    <img src="java&#X0A;script:alert('hello');">

      通过<img>标签是有可能导致Javascript执行的,这样攻击者就可以做他想伪装的任何事情。

      关于<style>也是一样:

    以下是引用片段:
    <style TYPE="text/javascript">...
       alert('hello');
    </style>
    分享到:
    评论

    相关推荐

      跨站脚本攻击原理与防范

      这些超链接中往往包含着经过二进制或其他编码方式伪装的恶意网址,用户在不注意的情况下点击链接,可能就会触发跨站脚本攻击。 跨站脚本攻击的主要危害包括: - 会话劫持:攻击者利用窃取到的用户会话信息(如...

      如何进行跨站脚本攻击--原理、检测与防御

      ### 如何进行跨站脚本攻击--原理、检测与防御 #### 一、跨站脚本攻击(XSS)概述 跨站脚本攻击(Cross-Site Scripting,简称XSS)是Web应用中最常见的安全漏洞之一。XSS攻击允许攻击者在用户的浏览器中注入恶意...

      XSS 跨站脚本攻击及防范

      XSS(Cross Site Scripting)跨站脚本攻击是一种网络安全漏洞,主要针对Web应用程序,让攻击者能够在受害者的浏览器上执行恶意脚本。攻击者通过在网页中插入有害的HTML代码,当用户浏览该页面时,这些代码会被执行,...

      xss跨站脚本攻击详解

      ### XSS跨站脚本攻击详解 #### 一、XSS攻击概述 XSS攻击,全称为**跨站脚本攻击**(Cross Site Scripting),是一种常见的网络安全漏洞,它发生在Web应用程序未能正确过滤用户输入的数据时。攻击者可以借此机会将...

      SQL注入技术和跨站脚本攻击的检测

      而跨站脚本攻击则是攻击者在URL中插入JavaScript代码,诱导用户点击,使得恶意脚本在用户的浏览器中运行,可能导致个人信息泄露或执行其他恶意操作。 检测SQL注入攻击的关键在于识别输入中可能的SQL元字符,如单...

      XSS跨站脚本攻击剖析与防御(目录)

      ### XSS跨站脚本攻击剖析与防御 #### 一、XSS攻击概述 **XSS**(Cross Site Scripting)即跨站脚本攻击,是一种常见的Web应用程序安全漏洞。这种攻击方式利用网页开发时的疏忽,允许攻击者往网页里插入恶意html代码...

      跨站脚本攻击实例解析汇编.pdf

      跨站脚本攻击,简称XSS,是一种常见的网络安全漏洞,主要发生在Web应用程序中。攻击者通过注入恶意脚本,利用网站的信任关系,对其他用户进行信息盗窃、身份冒用或恶意行为。XSS攻击通常分为反射型、存储型和DOM型三...

      18.XSS跨站脚本攻击原理及代码攻防演示(一)1

      XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全问题,它发生在攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而盗取用户数据或者控制用户浏览器的行为。XSS攻击主要分为...

      js脚本攻击大全

      XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的网络安全漏洞,它允许攻击者将恶意脚本注入到看似可信的网站上。当用户浏览这些被注入恶意脚本的网页时,恶意脚本会在用户的浏览器环境中执行,从而导致...

      web安全之XSS攻击及防御pdf

      跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不充分或者处理不当,导致恶意脚本被注入到网页中。当其他用户访问这些包含恶意...

      XSS跨站攻击课程.pdf

      - **定义**:XSS(Cross-Site Scripting)即跨站脚本攻击,是指攻击者利用网站漏洞,将恶意脚本代码注入到网页中,当其他用户浏览这些网页时,就会在用户的浏览器上执行恶意代码。XSS攻击通常发生在用户与Web应用...

      安全经典之跨站脚本.txt

      ### 安全经典之跨站脚本:深入解析XSS攻击与防护 #### 一、什么是跨站脚本(XSS)? 跨站脚本(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本。这种攻击之...

      16 王润 WEB APP跨站脚本漏洞的检测与分析1

      XSS漏洞允许攻击者在用户浏览器上执行恶意脚本,可能导致数据泄露、身份盗用等严重后果。 针对Web APP的XSS漏洞,本文提出了一种基于静态污点分析的检测方案。静态污点分析是一种在不运行程序的情况下,通过分析源...

      信息安全技术基础:XSS跨站脚本的防御技术.pptx

      【XSS跨站脚本防御技术】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器中执行恶意脚本。这些脚本可以窃取用户的敏感信息,比如Cookie,甚至操纵网页内容。防御XSS攻击是...

      防止html脚本注入的脚本

      因此,开发人员需要对用户的输入进行过滤,确保其中不包含任何可能导致脚本执行的危险字符或标签。 `HTMLFilter.java`文件很可能包含了实现这一功能的Java代码。通常,这样的过滤器会移除或转义可能的恶意HTML标签...

      XSS跨站总结

      XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的Web应用程序安全漏洞,它允许攻击者通过注入恶意脚本来攻击用户。这种攻击通常发生在用户浏览器上,利用的是用户对目标网站的信任。 - **定义**:XSS攻击是...

      过滤html标签函数

      标题“过滤HTML标签函数”所指的就是这样一个功能,它能够帮助我们清理和标准化文本,防止XSS(跨站脚本攻击)等安全问题,或者仅仅是为了提取纯文本内容。 描述中提到的“过滤html标签的代码,如果只是把类似的...

      过滤字符串中的HTML标签

      1. **安全问题**:如果输入的字符串来源不可信,可能会存在XSS(跨站脚本攻击)等安全风险。建议结合其他安全措施一起使用。 2. **兼容性问题**:由于HTML标签的形式多样,某些复杂的标签可能无法被完全识别和移除。...

    Global site tag (gtag.js) - Google Analytics