type
status
date
slug
summary
tags
category
icon
password
一、
<script>标签- 直接在 URL 参数中注入
<script>标签及恶意脚本是常见方式。比如:http://example.com/page?param=<script>alert('XSS');</script>。如果网站没有对输入参数进行严格过滤和转义处理,当页面显示这个参数时,浏览器就会执行恶意脚本。
- 在表单输入中,若输入内容包含
<script>标签,且后端处理不当,也可能引发 XSS。比如在评论区输入<script>document.cookie='stolen';alert('XSS');</script>,如果被直接显示在页面上,攻击者就可能窃取用户的 cookie 信息。
二、
<img>标签- 利用
onerror事件触发 XSS。例如:<img src="invalid-url" onerror="alert('XSS');">。当浏览器无法加载图片时,就会执行onerror中的恶意脚本。攻击者可以通过各种方式将这样的代码注入到网页中,比如在用户上传的图片文件名中包含恶意代码,当网站显示图片时触发 XSS。
- 还可以修改
src属性指向恶意脚本地址。比如:<img src="http://malicious-site.com/evil.js">,如果浏览器允许跨域加载脚本且网站未对图片源进行严格检查,就可能导致恶意脚本被执行。
三、
<iframe>标签<iframe>可以用来嵌入外部页面,如果攻击者将其src属性设置为恶意页面地址,就可能引发 XSS。例如:<iframe src="http://evil-site.com/malicious.html"></iframe>。当页面加载这个<iframe>时,恶意页面中的脚本可能会窃取用户信息或执行其他恶意操作。
- 或者通过设置
onload等事件属性来触发恶意脚本。比如:<iframe onload="alert('XSS');">。
四、
<a>标签- 通过设置
href属性为 JavaScript 代码来触发 XSS。比如:<a href="javascript:alert('XSS');">恶意链接</a>。当用户点击这个链接时,浏览器会执行其中的 JavaScript 代码。
- 也可以利用
onclick等事件属性。例如:<a onclick="alert('XSS');">恶意链接</a>。
五、
<svg>标签- SVG(可缩放矢量图形)中的
<svg>标签也可能被用于 XSS 攻击。比如在<svg>标签内使用<script>标签或者利用事件属性来执行恶意脚本。例如:<svg><script>alert('XSS');</script></svg>。如果网站允许用户上传 SVG 图像且未进行安全检查,就可能被攻击者利用。
- Author:Gweek
- URL:https://www.myla.eu.org/article/xss-bq
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!