发现csdn能防javascript脚本注入,但不理解原理,再试试
<script language="javascript" type="text/javascript">
alert("hehe!");
</script>
大家给点看法。
看看这个攻击试试:
步骤:
1 对网页的源代码分析,分析感兴趣的部分;
2 打开该页面,清空url,敲入javascript:#command#,回车;
3 获取你想要的东西,查看或修改。
举个例子,用这种方法就可以用轻松的跳过一些网站的验证信息,而进入你想进入的页面。(前提:该网站仅仅用cookie来验证用户已经登陆)
HTML code:
发现csdn能防javascript脚本注入,但不理解原理,再试试 <br /> <br /> <script language="javascript" type="text/javascript"> <br /> alert("hehe!"); <br /> </script> <br /> <br /> 大家给点看法。
HtmlEncode?
但 <br /> <br />这些有不会被编码?
不会在字符串中专门找 <scritp>吧?
性能损耗大不?
我觉得难得在于:
1. 仅
<form id="form1" runat="server">
<div>
<script type="text/javascript">
function oo(a){
document.getEleme ......
