首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    存储型XSS的攻防:不想做开发的黑客不是好黑客

    这是因为js脚本已经被解析了,这时我们按F12,打开浏览器的开发者工具,发现了js脚本。 ? 那么,问题来了。 毕竟我们还有另外一个身份,开发者该如何防御呢?...0x01、对关键字script进行过滤 作为开发者,你很容易发现,要想进行xss攻击,必须插入一段js脚本,而js脚本的特征是很明显的,脚本中包含script关键字,那么我们只需要进行script过滤即可...显示结果 描述 实体名称 实体编号 空格 < 小于号 < < > 大于号 > > & 和号 & & " 引号 " " ' 撇号 ' (IE不支持) ' ¢ 分(cent) ¢ ¢ £ 镑(pound...我举个例子吧,当你想在HTML页面上显示一个小于号(<)时,浏览器会认为这是标签的一部分(因为所有标签都由大于号,标签名和小于号构成),因此,为了能在页面上显示这个小于号(<),我们引入了HTML字符实体的概念...,能够在页面上显示类似于小于号(<)这样的特殊符号,而不会影响到页面标签的解析。

    1.8K20
    领券