81,092
社区成员
发帖
与我相关
我的任务
分享通过网址注入的XSS问题
在浏览器地址栏直接输入网址https://xxxx.xx.com/user/queryUser.htm#/']<<img src=x onerror=prompt(1)>>/,会弹出确认框,通过js对网址进行正则判断,对<、>、prompt等关键字符进行转义后替换原先请求网址,发现网址已经转义,但是确认框还是会弹出,应该如何解决这个问题
...全文
请发表友善的回复…
发表回复
老马历写记 2019-02-12
- 打赏
- 举报
base64处理,https://blog.csdn.net/chuangxin/article/details/87071348
老马历写记 2019-02-12
- 打赏
- 举报
前端把要携带的字串做下加密处理吧,比如base64,后台反向解密下,简单方便。
vilsorrow 2019-02-03
- 打赏
- 举报
</div><script>alert(123)</script><div>
狗来了 2018-12-12
- 打赏
- 举报
<script>alert(123)</script>
liujunxiaose 2017-04-10
- 打赏
- 举报
但是这是一个后台请求,锚点后的字符不会进入后台,这也不是一个前台页面,也不能在前台处理,该去哪里过滤url呢
Go 旅城通票 2017-04-05
- 打赏
- 举报
输出参数前将<>替换为实体<>,不要直接输出参数内容,你肯定是直接输出了当然会xss注入了
