【菜鸟】简单说下xxa黑站更新帖（搬砖）

无名

粘到文本框里去


提交成功
看到没？彩笔做的网站，前台框架用得爽，后台验证完全没有，顺利过了


打开相应的显示画面，看到了我们的js已经成功被执行


查看一下源代码，我们的js已经被嵌入了html[揪耳朵]

总结：
真正的坏人，不会上传一段alert那么简单。
正如名字一样，跨站的意思是，大的脚本不会直接上传，一定是再远程。
如果，他上传的是如下的代码，你觉得后果会如何？
防范
xss的方法，前面已经提到了，用户提交数据的时候，做
后台验证是其一。
其二就是前台展示数据的时候，一定要做
代码转义。
这里隆重推荐，我大微软的
asp.net MVC + razor 真心很强大。
前台后台验证一条龙，显示转意一句话。
[揪耳朵]