作者发现博客园在首页显示摘要时未做html标签的过滤,致使摘要中的html代码可以被执行,从而可以注入任何想要被执行的js代码,作者利用这一缺陷在本文摘要中插入了一段js代码执行alert弹窗,同时增加另一片文章的访问数量,并无恶意代码,可以通过下面地址进行体验:
相关文章
- VueDOMPurifyHTML 防止 XSS(跨站脚本攻击) 风险
- 给springboot增加XSS跨站脚本攻击防护功能
- vue项目:解决v-html可能带来的XSS是跨站脚本攻击
- XSS跨站脚本攻击(一)----XSS攻击的三种类型
- 跨站脚本攻击(Cross‐Site Scripting (XSS))实践
- XSS 跨站脚本攻击预防(文件上传)
- Nginx 防止跨站脚本 Cross-Site Scripting (XSS)(漏洞修复)
- Web安全测试之XSS(跨站脚本攻击) XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
- XSS 跨站脚本检测,常见攻击手段——反射型
- web 安全 & web 攻防: XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)