我已经设置了一个应用程序来测试执行 XSS attakcs 的不同方法,它将添加我在文本框中编写的任何内容作为 iframe src 值的补充。
但是 src 里面已经包含了一个字符串。因此,如果我编写类似 javascript:alert('123') 的内容,最终的 iframe src 将如下所示
<iframe src="blahblahjavascript:alert('123')>
有没有办法仍然在该 iframe 内执行 javascript 代码?(逃避 src?)
尝试添加 \n、右引号、添加特殊 utf 字符。
总体而言,如果不转义结果(至少),让用户更改 iFrame 源似乎不是一件安全的事情。在 XSS 攻击方面,您应该假设每个用户输入都是危险的并相应地处理它。永远不要相信客户发给你的任何东西。永远不要相信任何用户输入。始终假设用户输入和发送给您的东西是危险的并相应地处理。
它是 iFrame 源还是其他都没有关系。关键是逃避一切。
如果我要输入"><h1>XSS</h1><iframe src="您的文本字段怎么办?你的输入看起来像<iframe src="blahblah"><h1>XSS</h1><iframe src="">还是类似的?
如果是这样,我可以在那里放一个脚本标签,让它变得更糟。