转义后是否能构造出XSS攻击?
在转义后,有没有办法可以构造出XSS攻击?
在转义后,有没有办法可以构造出XSS攻击?
你觉得呢?
no
因为转义后,不管是转义html还是属性,都不能在浏览器端作为html标签来渲染,也不能闭合属性。
从而是没有办法继续构造转义后的XSS攻击。
所以,只能想办法通过绕过转义,来实现XSS攻击了。
但是,只要进行转义操作后,一般是比较难开展XSS攻击。
我用XSStrike测试过,也基本找不到XSS漏洞。
在用XSStrike扫描过程中发现,针对一些网站会给一些payload建议,但最终还是不能100%确定存在反射型的漏洞。
比如下图的payload:
详情: https://mp.weixin.qq.com/s?__...
有问题可群咨询:
https://public-1253796280.cos...
浙公网安备 33010602011771号