2018年12月22日
xss和实体编码的一点小思考
摘要: 首先,浏览器渲染分以下几步: 已知的问题: "" 之间的xss我们都知道可以使用伪协议,那么如果冒号或者javascript等关键字被过滤了我们应该如何解决? 我们可以在标签内通过实体编码触发xss: 浏览器遇到html标签 会对标签里面的实体编码进行解码 如果解码后存在javascript: 则会 阅读全文
posted @ 2018-12-22 23:06 Escape-w 阅读(3721) 评论(0) 推荐(0) 编辑