版权声明:本文为博主原创文章,未经博主允许不得转载。 https://cloud.tencent.com/developer/article/1344517
工具:appscan
站点:www.talk915.com
浏览器:IE8,firefox
方法:插入<imgsrc=”javascript: “>
通过appscan的扫描结果,选择
把appscan里的测试脚本拼成URL:
无论在把上面
%26%23x6a;%26%23x61;%26%23x76;%26%23x61;%26%23x73;%26%23x63;%26%23x72;%26%23x69;%26%23x70;%26%23x74;%26%23x3a;
改成
javascript:
或
%6A%61%76%61%73%63%72%69%70%74%3A
或
javascript:
或
javascript:
把上面URL输入到地址栏,各个浏览器的反应
IE8:
firefox:
不做任何提示,也不会执行指定的动作。
而这种现象的原因在于
http://hi.baidu.com/yushangren/item/ed6702819ccdb02b100ef38d
也就是说,IE8和firefox都对javascript这个关键字各种URL编码规则都做了正则匹配,从而起了阻截作用。