最新回答 / wind_27
XSS分为反射型,存储型和DOM BASE XSS;反射型需要构造URL,恶意脚本片段在URL中;存储型的恶意脚本是在服务器储存;DOM BASE XSS 效果上是和反射型差不多,因为形成原因特别就单独划分了(没仔细研究过...);而且URL什么的可以放贴吧,论坛嘛(随缘)
2017-09-18
最赞回答 / NferZhuang
如果场景是支持用户输入“富文本”的话,肯定是要使用 innerHTML,其它场景,直接使用 innerText 即可,抛开业务谈技术就是刷流氓。
2017-09-16
最新回答 / 宝宝周
请检查一下textarea是不是这个样子:<textarea name="name" id="txt" cols="30" rows="10"><p>sks<img src="null" alt="" onerror="alert(1)"></p><button onclick="alert('攻击我')">攻击我</button></textarea>在webStorm中,代码格式化的时候会自动插入换行符,然后chrom...
2017-09-15
最赞回答 / 何雪斌
比如我给你发一个你特别相信的官网,然后在这个官网中植入广告,这个广告的可信度是不是想当高。当让前提是这个官网没有进行防范XSS攻击的处理,这样我们才可以用XSS攻击来添加广告。
2017-08-24
