【菜鸟】简单说下xxa黑站更新帖(搬砖)
http://cdn.u1.huluxia.com/g3/M02/13/4C/wKgBOV6LMZKAe27ZAAJfg1g2mLg995.jpg
粘到文本框里去
http://cdn.u1.huluxia.com/g3/M02/13/4C/wKgBOV6LMZOAOqWOAAJPvLrw9GQ875.jpg
提交成功
看到没?彩笔做的网站,前台框架用得爽,后台验证完全没有,顺利过了
http://cdn.u1.huluxia.com/g3/M02/13/4C/wKgBOV6LMZOADZNDAADvD0xRvfw608.jpg
打开相应的显示画面,看到了我们的js已经成功被执行
http://cdn.u1.huluxia.com/g3/M02/13/4C/wKgBOV6LMZSAft14AAHVCYtrR0s081.jpg
查看一下源代码,我们的js已经被嵌入了html[揪耳朵]
总结:
真正的坏人,不会上传一段alert那么简单。
正如名字一样,跨站的意思是,大的脚本不会直接上传,一定是再远程。
如果,他上传的是如下的代码,你觉得后果会如何?http://cdn.u1.huluxia.com/g3/M02/13/4C/wKgBOV6LMZSAWvb2AAAxR77l7bU523.jpg
防范
xss的方法,前面已经提到了,用户提交数据的时候,做
后台验证是其一。
其二就是前台展示数据的时候,一定要做
代码转义。
这里隆重推荐,我大微软的
asp.net MVC + razor 真心很强大。
前台后台验证一条龙,显示转意一句话。
[揪耳朵]
页:
[1]