利用伪协议与默认所有的变量都会被escape进行XSS-白红宇

利用伪协议与默认所有的变量都会被escape进行XSS

阅读量：7216 次

发布时间：2019-06-29

本文共 318 字，大约阅读时间需要 1 分钟。

摘自《白帽子讲Web安全》


     
      test

python开发框架Django和web2py都选择在View层默认HtmlEncode所有变量，但仍可能出现XSS：

栗子：


     
      test

如果用户输入：

$var = htmlencode("');alert('2");

对浏览器来说，htmlparser会优先于JavaScript Parser执行，所以解析过程是，被HtmlEncode的字符先被解码，然后执行JavaScript事件。


     
      test

转载于:https://blog.51cto.com/maxvision/1889362

你可能感兴趣的文章

Python之路番外：PYTHON基本数据类型和小知识点

查看>>

转：matlab+spider+weka

查看>>

步步为营 .NET 设计模式学习笔记十五、Composite(组合模式)

查看>>

angular通过路由实现跳转 resource加载数据

查看>>

python try except, 异常处理

/var/adm/wtmp文件太大该怎么办？

查看>>

反应器模式 vs 观察者模式

查看>>

Algernon's Noxious Emissions POJ1121 zoj1052

查看>>

iOS-数据持久化-对象归档

查看>>

iOS开发UI篇—程序启动原理和UIApplication

查看>>

MUI 里js动态添加数字输入框后，增加、减少按钮无效

查看>>

python pip 更换国内安装源（windows）

查看>>

结对编程2后篇

查看>>

oracle exp 和 imp 数据和表结构互相独立导出导入

查看>>