मैं एक एचटीएमएल संदर्भ में एक्सएसएस के लिए भागना चाहता हूं, और अब तक मैं <,>, और "अक्षर का इलाज करता हूं जाहिर है कि एम्पर्सेंड से बचने की भी सिफारिश की जाती है, लेकिन क्यों? (एचटीएमएल वैध रखने के अलावा , मान लेते हैं कि यह कोई मुद्दा नहीं है भी नहीं)क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस): क्या मुझे एम्परसैंड से बचने की ज़रूरत है?
तो क्या मैं पूछ रहा हूँ है: जब मैं <,> बचने और ", किसी को प्रदर्शित कर सकते हैं कि कैसे एम्परसेंड अभी भी एक एचटीएमएल संदर्भ में एक XSS हमले अनुमति दे सकते हैं?
चीयर्स!
दिलचस्प उदाहरण, चियर्स मैं क्या करने की कोशिश की।! इंजेक्ट करना था एचटीएमएल में इस: < स्क्रिप्ट type = "text/javascript" > कौन सा निष्पादित नहीं होता है, howerver के रूप में प्रदर्शित "
आप & का उपयोग URL में पैरामीटर जोड़ रहे हैं:
परिलक्षित XXS:
स्क्रिप्ट कोड URL जो वेबपेज पीड़ितों को
स्रोत
2012-02-03 05:44:43 Adrian
नीचे मतदाता उनके विचार की व्याख्या करनी चाहिए मैं इस जवाब से सहमत +1 – tusar