xss防范措施及href和js输出点
一、防范措施
总结:输出做过滤,输出做转义。
二、href输出
我们以pikachu为例,打开xss之href输出
先输入:javascript:alert(666)
然后查看一下源码
再回来点一下
即可得到:
三、js输出
我们以pikachu为例,打开xss之js输出
先随意输入一些字符,打开源代码
我们就可以知道,当输入“tmac”时会有东西弹出来,否则会输出下面的那句话
我们尝试输入“tmac”
得到
然后,我们根据源代码来编写一段小代码来注释源代码
输入:x’< /script>< script>alert(‘xss’)< /script>’
得到: