记一次可能的XSS攻击
背景
我们的小程序用的html页面内嵌,有人在提交意见栏里提交了:
111<img src=x onerror=alert(1)>
的js代码,如果前端可以执行输入框内的代码,他就可以嵌入自己的js代码,获取页面数据或者找漏洞攻击系统,这就是传统的XSS攻击。
问了前端,一般的前端框架都有安全措施,不会执行输入内容的代码。
我们的小程序用的html页面内嵌,有人在提交意见栏里提交了:
111<img src=x onerror=alert(1)>
的js代码,如果前端可以执行输入框内的代码,他就可以嵌入自己的js代码,获取页面数据或者找漏洞攻击系统,这就是传统的XSS攻击。
问了前端,一般的前端框架都有安全措施,不会执行输入内容的代码。
浙公网安备 33010602011771号