细谈XSS骚操作

细谈XSS骚操作

PayLoad

首先一个xss payload基本有以下几部分组成

  • [TAG]填充标签img svg video button...
  • [ATTR]=Something 填充一些非必要的属性 src=1 xmlns="www.cnblogs.com/m0rta1s"
  • [EVENT]填充事件属性onerror onload...
  • [SAVE_PAYLOAD]填充JavaScript代码alert(1) top.alert(1)

大概就是这样

<[TAG] [ATTR]=something [EVENT]=[SAVE_PAYLOAD]>

原文地址:https://www.cnblogs.com/M0rta1s/p/11822260.html

时间: 2024-10-10 16:13:41

细谈XSS骚操作的相关文章

Java程序员从笨鸟到菜鸟之(五十一)细谈Hibernate(二)开发第一个hibernate基本详解

在上篇博客中,我们介绍了<hibernate基本概念和体系结构>,也对hibernate框架有了一个初步的了解,本文我将向大家简单介绍Hibernate的核心API调用库,并讲解一下它的基本配置.核心API的底层实现和源码解析将在以后的博客中一一为大家讲解. 首先我们一起来看一下开发一个hibernate应用程序的大体流程是什么样的(流程顺序可以颠倒): •创建Hibernate的配置文件 •创建持久化类 •创建对象-关系映射文件 •通过Hibernate API编写访问数据库的代码 关于配置

细谈RDD的弹性

细谈RDD的弹性 弹性之一:自动的进行内存和磁盘数据存储的切换   弹性之二:基于Lineage(血缘)的高效容错   弹性之三:Task如果失败会自动进行特定次数的重试 弹性之四:Stage如果失败会自动进行特定次数的重试,而且只会计算失败的分片 弹性之五:checkpoint和persist Checkpoint是比较重量级的操作,RDD操作,一般每次都会产生新的RDD,除了最后一个action操作触发作业以外.但是有时候,链条比较长或者计算比较笨重,考虑把数据放到磁盘上,这就是Checkp

浅谈 XSS &amp; CSRF(转)

浅谈 XSS & CSRF 客户端(浏览器)安全 同源策略(Same Origin Policy) 同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性. 如: 不能通过Ajax获取另一个源的数据: JavaScript不能访问页面中iframe加载的跨域资源. 对 http://store.company.com/dir/page.html 同源检测 跨域限制 浏览器中,script.img.iframe.link等标签,可以跨域引用或加载资源. 不同于 XMLHttpReq

JAVA基础细谈

JAVA基础细谈 一. 源文件和编译后的类文件     源文件的本质就是程序文件,是程序员编写,是人看的.而编译后的类文件是给电脑看的文件.一个类就是一个文件,无论这个类写在哪里,编译以后都是一个文件.源文件通过java编译生成类文件,后缀名为”.java“的是源文件,后缀为“.class”的为类文件.如图 这就是一个源文件和一个和它同名的类文件,文件名和类名一样,方便开发中的文件管理. 二. 语句    java程序的组成是类文件,类文件的组成是方法,方法的组成语句.语句是任何程序的基本单位,

细谈unity资源管理的设计

一.概要 本文主要说说Unity是如何管理的,基于何种方式,基于这种管理方式,又该如何规划资源管理,以及构建bundle,是后面需要详细讨论的. 二.Unity的资源管理方式 2.1 资源分类 unity项目中的资源,大体上可以分为外部导入资源和内部生成资源两种类型.外部导入资源: 美术生成的大部分资源,都是外部带入资源,模型,贴图,UI用图,基本是美术工具生成后,导入到工程中的.内部生成资源: 部分美术生成资源,例如材质,shader,特效,场景等,属于基于Unity引擎来制作生成的,此外各种

开源项目在闲鱼、b 站上被倒卖?这是什么骚操作?

起因 - 又是一封邮件 2020 年 3 月 2 日,收到了一封邮件,对,这次故事的起因又是一封邮件,和上次写个bug被国家信息安全漏洞共享平台抓到了一样. 这是一条评论通知邮件,一开始我以为只是正常的评论内容,后来看到内容才发现事情并不简单,邮件内容如下: 通过截图,大家应该也能够清楚大致的情况,b 站上有 up 主用我的开源项目做了视频并且进行源码的贩卖和宣传. 我之前写过一个开源的商城项目,代码和所有的资源文件都是免费给大家用的,名称叫"新蜂商城",开源仓库的地址是https:/

Css的使用细谈

Css的使用细谈 Css可以通过简单的更改CSS文件,改变网页的整体表现形式,可以减少我们的工作量,所以她是每一个网页设计人员的必修课. Css简介              (1) CSS是用于布局(layout)与美化网页的. (颜色,字体)       (2) CSS是Cascading Style Sheets的英文缩写,即层叠样式表       (3) CSS语言是一种标记语言,因此不需要编译,可以直接由浏览器执行(属于浏览器解释型语言).        (4) CSS文件是一个文本文

细谈Spring(一)spring简介

Spring 是一个开源框架,是为了解决企业应用程序开发复杂性而创建的.框架的主要优势之一就是其分层架构,分层架构允许您选择使用哪一个组件,同时为 J2EE 应用程序开发提供集成的框架.  然而,Spring的用途不仅限于服务器端的开发.从简单性.可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益. Spring的核心是个轻量级容器(container),实现了IoC(Inversion of Control)模式的容器,Spring的目标是实现一个全方位的整合框架,在Spr

细谈HTML解析模块

 细谈HTML解析模块 Html在网页中所占的位置,用一个简单直观的图给展示一下:         HTML基本介绍 (1) HTML是用来制作网页的标记语言.    (2) HTML是Hypertext Markup Language的英文缩写,即超文本标记语言.    (3) HTML语言是一种标记语言,不需要编译,直接由浏览器执行.     (4) HTML文件是一个文本文件,包含了一些HTML元素,标签等.HTML文件必须使用html或htm为文件名后缀.    (5) HTML是大小写