我有一个网站,其中一个页面http://www.example.com/errorpage.html?errmsg="Some error string"
然后这个错误字符串被渲染到<p class="error">Some error string</p>时尚服务器端的网页中,然后 HTML 被发送到客户端。
过去我一直在尝试,看看我是否可以摆脱这种情况并在没有成功的情况下更改标记。
是否有可能,或者页面是否安全。
谢谢-米切尔
问问题
363 次
1 回答
3
这个网站有一个非常全面的 CSS/XSS 漏洞列表,以及具体的例子。但是,允许通过查询参数呈现错误消息是非常可疑的,即使这些向量都不起作用,也不能保证将来不会出现某些向量。
于 2013-03-04T00:30:52.350 回答