在我见过的几乎所有 XSS 缓解指南中,都提到了以下模式:
<img src="javascript:evil();">
这可能有什么合法用途?你可以使用 JS 代码来生成 base64 编码的表示或其他东西吗?
问问题
987 次
2 回答
1
它没有很多合法用途。
它的工作方式可能是因为你可以在那里使用任何协议,并且一些浏览器实现了javascript伪协议,可以从多个地方调用。
于 2012-09-30T05:54:52.633 回答
1
我不知道合法使用,但一些浏览器(通常是旧的)会执行 JavaScript。请参阅 OWASP XSS 过滤器规避备忘单。
于 2012-09-30T05:55:05.297 回答