05月10, 2017

xss笔记

前阵子慕课网出了一个教程是关于xss的。因为我都是周末回老家(需要做高铁),所以就把视频缓存了一下。

听完之后,还是有一定收获的,但是我得承认,里面80%对我来说没什么意义,但一个东西如果20%对你有用,还是值得的。

我之前对xss的理解,比较简单,在我的概念中,只要把标签的“<”改成实体符号即可。但我没把富文本编辑器给考虑进去。

通过上面的那个教程,我收获了两个库:

不过那个教程中最后提到的方案,将所有的attr都移除掉,我是不敢恭维,毕竟像富文本编辑器,这样写代码是没问题:

<span style="font-size: 16px; color: red;">123</span>

正确的做法应该是列一个事件数组,将所有的事件属性给移除掉。

刚好群里面的朋友也分享一篇:聊聊XSS,里面提及的敏感cookie http-only也是很有必要的。

本文链接:www.my-fe.pub/post/about-xss.html

-- EOF --

Comments

评论加载中...

注:如果长时间无法加载,请针对 disq.us | disquscdn.com | disqus.com 启用代理。