Tag: # 跨站

针对用户输入内容嵌入页面时可能引发的XSS漏洞，核心防御策略是将特定字符转义为HTML实体。必须替换的字符包括：小于号转为<、大于号转为>、与号转为&、双引号转为"、单引号转为'。 阅读全文

同源策略限制脚本仅能访问相同域名下的资源，是防范XSS攻击的基础机制。当Web应用未对用户输入进行有效过滤或编码时，攻击者可通过URL参数、表单、Cookie等不可信数据源注入恶意脚本。以微博为例，若参数"u"未经处理直接输出，攻击者构造含 阅读全文

系统梳理跨站脚本攻击（XSS）测试语句，涵盖基础脚本注入、事件处理器触发、编码绕过、协议混淆及基于DOM的多种攻击向量。 阅读全文