设为首页收藏本站

开启辅助访问切换到窄版

第一问答网»论坛 › 中问网 › 问答 › 通过网址注入的XSS问题

通过网址注入的XSS问题

11 |

6 | 2021-1-27 06:48:01 | 显示全部楼层 |阅读模式

在浏览器地址栏直接输入网址https://xxxx.xx.com/user/queryUser.htm#/']/，会弹出确认框，通过js对网址进行正则判断，对、prompt等关键字符进行转义后替换原先请求网址，发现网址已经转义，但是确认框还是会弹出，应该如何解决这个问题

分 -->

回复

使用道具举报

千问 | 2021-1-27 06:48:01 | 显示全部楼层

输出参数前将替换为实体<>，不要直接输出参数内容，你肯定是直接输出了当然会xss注入了

回复

使用道具举报

千问 | 2021-1-27 06:48:01 | 显示全部楼层

但是这是一个后台请求，锚点后的字符不会进入后台，这也不是一个前台页面，也不能在前台处理，该去哪里过滤url呢

回复

使用道具举报

千问 | 2021-1-27 06:48:01 | 显示全部楼层

回复

使用道具举报

千问 | 2021-1-27 06:48:01 | 显示全部楼层

回复

使用道具举报

千问 | 2021-1-27 06:48:01 | 显示全部楼层

前端把要携带的字串做下加密处理吧，比如base64，后台反向解密下，简单方便。

回复

使用道具举报

千问 | 2021-1-27 06:48:01 | 显示全部楼层

base64处理，https://blog.csdn.net/chuangxin/article/details/87071348

回复

使用道具举报

返回列表发新帖

主题	0 回帖	4882万积分

Rank: 8 Rank: 8

积分: 48824836

回复楼主返回列表

问答

热门排行