如果我使用 xss,输入 ALERT('DSSA'); 或只是将其粘贴到搜索文本字段有什么区别?在一个站点中,打字工作,并发出警报,但如果我只是粘贴它,它不会。为了避免这个问题,我不想破解任何网站,我只是对网络安全感兴趣。
感谢你的回答
问问题
66 次
2 回答
2
这将是因为构建网站的程序员很懒惰并且没有监听onpaste事件。
键入会触发onkeydown,onkeypress和onkeyup事件,并且是在观察用户输入时要考虑的标准事件。
看起来这些是程序员监听的唯一事件(这使得这与网络安全无关)。
如果不是这种情况,那么他将对事件使用两个不同的事件处理程序;一个逃脱了输入,而另一个他被遗忘了。
于 2012-09-28T10:03:51.340 回答
1
我可能没有正确理解这个问题。
在元素上键入触发器keyUp和事件。如果代码被编程为仅捕获它们,那么将仅捕获那些事件。keyDownkeyPress
可以使用键盘、鼠标和浏览器选项进行粘贴。所以这取决于你也在听哪些事件。有一个单独的事件称为onpaste这将简化一切。
我的意思是,假设我的代码仅用于捕获我按“Ctrl”+“v”的粘贴,但如果使用鼠标和浏览器选项在元素上粘贴,那么它也被配置为捕获鼠标事件,它不能被捕获。
于 2012-09-28T10:02:48.963 回答