web后端针对xss攻击只将'<' '>'转换为' <' 和 '>' 行不行?

kk_back 2018-06-11 10:10:37

如题，web后端将'<','>' 转换成'<' 和 '>' 是不是可以预防所有的xss攻击？

...全文

681 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

kk_back 2018-06-13

打赏
举报

回复

引用

不可以，引号也可能会导致xss。比如：<input value="<%=aaa%>" />。若aaa的值为" onclick="alert(123)，则 <input value="" onclick="alert(123)" /> 就产生xss了。还有转义符 \ 等，通常过滤这些就够。当然还是其它的奇技淫巧了

可以解释一下为什么转义符\能够导致xss吗？

ambit_tsai-微信 2018-06-13

打赏
举报

回复

引用 2 楼 u011877410 的回复:

引用
不可以，引号也可能会导致xss。比如：<input value="<%=aaa%>" />。若aaa的值为" onclick="alert(123)，则 <input value="" onclick="alert(123)" /> 就产生xss了。还有转义符 \ 等，通常过滤这些就够。当然还是其它的奇技淫巧了
可以解释一下为什么转义符\能够导致xss吗？

是我记混了，常见的xss好像没有用转义符

ambit_tsai-微信 2018-06-11

打赏
举报

回复

不可以，引号也可能会导致xss。比如：<input value="<%=aaa%>" />。若aaa的值为" onclick="alert(123)，则 <input value="" onclick="alert(123)" /> 就产生xss了。还有转义符 \ 等，通常过滤这些就够。当然还是其它的奇技淫巧了

XSS漏洞介绍： xss攻击的目录就是让前端把我们的攻击代码执行跨站攻击全都是前端的只需要右击查看源代码就可以查看到漏洞了测试漏洞方式：弹窗测试（测试成功以后具体功能实现的xss代码有很多免费的xss平台可以直接使用）弹窗基本代码： <script>alert(1)</script> 在输入框输入代码提交以后如果出现弹窗说明存在xss漏洞。此时提交成功可以右键在网页源代码里面看到自己提交上去的js代码因为本身存储框，留言板这种就会在...

title: Xss date: 2021-02-23 sidebar: ‘auto’ tags: Xss Springboot categories: 后端 Xss 漏洞测试整理16个常见的属性标签和脚本script带来的漏洞。参考地址常见几种跨站脚本漏洞安全测试,测试的html,可以参考如下 <!DOCTYPE html> <html> <head> <title>动态网页请求后台数据</title> </head&gt.

XSS靶机 level1 <!DOCTYPE html><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> <script> ## 若执行了alert，则执行以下语句 window.alert = function() { confirm("完成的不错！"); window.loc

前言： 1.XSS简介跨站脚本（cross site script）简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去，使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料，比如：登录帐号、...

XSS（cross-site scripting跨域脚本攻击）攻击是最常见的Web攻击，其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种，分别是： 1. Reflected XSS（基于反射的XSS攻击） 2. Stored XSS（基于存储的XSS攻击） 3. DOM-based or local XSS（基于DOM或本地的XSS攻击） Reflected XSS 基

10,606

社区成员

29,047

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章