【发布时间】:2016-09-14 21:11:40
【问题描述】:
我有以下代码:
echo "<span title='{$_GET["t"]}'>Foo</span>";
显然,这段代码不是 XSS-Save,但是当我调用以下 URL 时,没有执行任何 JavaScript:
url?t=Foo" onclick="alert(1)"url?t=<script>alert(1);</script>
浏览器在这里做了一些神奇的工作吗?有没有攻击向量?
【问题讨论】:
-
在第一种情况下你不匹配结束单引号,在第二个脚本中不会在标题属性内执行
-
你看过生成的 HTML 吗?我不认为你正在产生你认为你正在产生的东西。
-
Is there any attack vector?erm,是的 - 关于这个的一切。您盲目地信任用户输入并将其置于可执行环境中而没有任何更改。没有什么可以被认为是安全的。 -
url?t=Foo' onclick="alert(1)" i='
标签: javascript php html security xss