您好,登錄后才能下訂單哦!
xss分為反射型,存儲(chǔ)型,dom based xss 前兩者很好理解 對(duì)于dom based xss有點(diǎn)繞 記錄下。
常見(jiàn)的xss都是 客戶端輸入直接輸出在html 假如沒(méi)過(guò)濾存在js代碼 將會(huì)被執(zhí)行。
而dom based xss 它是不一樣的。
下面用實(shí)例講解
<script> function a(){ var str=document.getElementById('test').value; document.getElementById("t").innerHTML="<a href='"+str+"'>testlink</a>"; } </script> <div> <input type="test" id='test' value=""/> <a href="" id='t'>test</a> <br/> <input type="button" id="s" value="write" onclick='a()'/> </div>
會(huì)編程的 都可以看懂這是什么意思。
事實(shí)上, DOM based xss 是從javascript中輸出數(shù)據(jù)到html頁(yè)面里。而存儲(chǔ)型,反射型,都是針對(duì)服務(wù)器應(yīng)用輸出到html頁(yè)面的xss漏洞。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。