我有一个网站,其中一个页面http://www.example.com/errorpage.html?errmsg="Some error string"
然后这个错误字符串被渲染到<p class="error">Some error string</p>
时尚服务器端的网页中,然后 HTML 被发送到客户端。
过去我一直在尝试,看看我是否可以摆脱这种情况并在没有成功的情况下更改标记。
是否有可能,或者页面是否安全。
谢谢-米切尔
我有一个网站,其中一个页面http://www.example.com/errorpage.html?errmsg="Some error string"
然后这个错误字符串被渲染到<p class="error">Some error string</p>
时尚服务器端的网页中,然后 HTML 被发送到客户端。
过去我一直在尝试,看看我是否可以摆脱这种情况并在没有成功的情况下更改标记。
是否有可能,或者页面是否安全。
谢谢-米切尔
这个网站有一个非常全面的 CSS/XSS 漏洞列表,以及具体的例子。但是,允许通过查询参数呈现错误消息是非常可疑的,即使这些向量都不起作用,也不能保证将来不会出现某些向量。