如何在 XSS 模拟中对 HTML 进行转义

【问题标题】:How to Unescape HTML in XSS Simulation如何在 XSS 模拟中对 HTML 进行转义
【发布时间】:2019-09-23 06:08:19
【问题描述】:

在我自己的 Web 应用程序中,我正在尝试执行 XSS 攻击作为演示的一部分。我尝试通过将一些 HTML(例如

Click here

)提交到发布提交内容的表单来做到这一点,但是当我提交表单时,发布的内容实际上是:

Click here H1>。如果 HTML 没有转义,它会以大字体显示“单击此处”。当我查看页面源时,它显示:

点击这里

HTML如何在发布时不转义?

【问题讨论】:

  • 这取决于您使用的编码。前端或/和后端可能正在清理输入。没有更多信息,谁也说不准。

标签: html xss


【解决方案1】:

var str = '<h1>Click Here</h1>'
var newStr = unescape(str)

将此 newStr 附加到 html

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2012-09-17
    • 1970-01-01
    • 2012-08-31
    • 1970-01-01
    • 2012-02-13
    • 2014-01-21
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode