我已经设置了一个应用程序来测试执行XSS attakcs的不同方法,它将添加我在文本框中编写的任何内容作为iframe src值的补充。
但是 src 内部已经包含一个字符串。因此,如果我写类似javascript:alert('123')的东西,最终的iframe src将如下所示 <iframe src="blahblahjavascript:alert('123')>
有没有办法仍然在该iframe中执行javascript代码?(逃离 src?
已尝试添加、右引号、添加特殊utf字符。
总体而言,让用户更改 iFrame 源似乎不是一件安全的事情,而不会逃脱结果(至少)。就XSS攻击而言,您应该假设每个用户输入都是危险的,并相应地处理它。永远不要相信客户发送给您的任何内容。永远不要相信任何用户输入。始终假设用户输入和发送给您的内容是危险的,并相应地进行处理。
无论是iFrame源还是其他什么都没有关系。关键是要逃避一切。
如果我在您的文本字段中输入"><h1>XSS</h1><iframe src="
怎么办?您的输入看起来像<iframe src="blahblah"><h1>XSS</h1><iframe src="">
还是类似的东西?
如果是这样,我可以在那里放一个脚本标签,让它变得更糟。