番茄系统家园 · 2021-11-23 10:07:57
HTML5去掉了很多过时的标签,例如
HTML5引入的新标签包括、、、、
下面我们要讲到就是这些关键载体。它允许创建XSS的变种并且可以绕过现有的XSS过滤器。
首先来看一个标签:
它使用了一个source标签,而没有指定具体的src,所以后面的onerror方法会立即得到执行。
下面是video的poster属性,它链接到一个图像,是指当视频未响应或缓冲不足时,显示的占位符。
另外还有HTML5新引入的autofocus和formaction属性,autofocus会让元素自动的获取焦点,而formaction属性能覆盖 form 元素的action 属性。
在这个项目里存在用户输入的地方,我们虽然已经针对旧有的标签以及属性进行了过滤和清洗,但是还会存在新标签攻击的漏洞,攻击者利用上面的示例方式就可以对系统进行XSS注入攻击。例如攻击者输入)”>时就能立即运行攻击脚本。
我们对此攻击的防御方式是,对前端或者后端的过滤器进行优化,添加过滤规则或者黑名单。
以上就是关于新标签攻击的全部内容介绍,希望对大家的学习有所帮助。
安卓手机QQ 4.7.2正式发布 显示在线好友的网络状态
瑞星安全随身WiFi怎么用 瑞星随身WiFi有何亮点以及使用方法
您的WiFi安全吗?让路由卫士来为您把关让它变得更快,更安全
大势至局域网共享文件管理软件详细记录服务器共享文件访问日志、保护共享文件安全
金山毒霸发布全新的V11新春版:杀毒速度更快/软件净化
TapTap V2.84.0 手机版
软天空游戏盒应用
软天空游戏大全App
菜鸡游戏不用排队版
软天空游戏盒子手机版
软天空游戏盒正式版
软天空游戏盒子app
软天空游戏盒子App
软天空游戏
菜鸡游戏App
玩GO
好游快爆软件
菜鸡游戏
葫芦侠App
第五人格盒子软件
快手大屏版
嘿咻漫画
快狐短视频
微信
钢琴助手手机版
钢琴助手最新版
2345游戏盒
北京交通app停车缴费
光环助手oppo版最新
精准天气预报几点几分
飞信
华为鸿蒙os2.0系统
messenger free
海棠书屋自由阅读的小说阅读网
QQ
