为什么在留言处插入<script>alert(1)</script>不弹框

对于新手来说，往往会在留言地方插入<script>alert(1)</script>来检测是否有存储xss，事实是基本上不会弹框的，为啥？

通过查看源码，可知道<>标签被实体编码了。

是前端和后端设置了过滤？非也！。因为有些标签自身具备htmlencode功能，标签有:

<title>

如果绕过？那就闭合前面的标签就是了，比如</textarea><script>alert(1)</script>

ps: <textarea>在文本留言处是最常用的，特征也很明显，比一般的input输入框要大，而且右下角可拖动设置框大小。

时间： 2024-08-07 10:45:29

为什么在留言处插入<script>alert(1)</script>不弹框的相关文章

Selenium----switch_to.alert浏览器自带弹框处理

alert 实际上也是Selenium的一个模块,要使用该模块首先得引入from selenium.webdriver.common.alert import Alert 点击确认按钮:driver.switch_to.alert.accept()点击取消按钮:driver.switch_to.alert.dismiss() 如果alert弹框上有文本框,可以输入文字driver.switch_to.alert.sendkeys() 返回alert上的文本内容text = driver.swit

1：完成留言效果 2：完成拖动标题控制弹框拖拽 3 : 给弹框添加一个自定义的右键菜单

css部分 *{ margin: 0; padding: 0;}body,html{ width: 100%; height: 100%; position: relative;}li{ margin-top: 10px; list-style: none; border-bottom: 1px dashed #ccc;}#box{ width: 500px; border: 2px solid #ccc; padding: 30px;}#btn{ margin-top: 20px; margi

手写alert弹框（一）

采用原生的JavaScript, html代码 <meta name="viewport" content="width=device-width, initial-scale=1, user-scalable=no"> <style> .div{ border:4px dashed #ccc;margin:130px auto; text-align:center; font-size:25px; width:100px; height:1

可编辑DIV （contenteditable="true"）在鼠标光标处插入图片或者文字

近期需开发一个DIV做的编辑器,插入表情图片可直接预览效果,仔细参考了下百度贴吧的过滤粘贴过来文件的THML代码,自己整理了下.写出来只是和大家分享下,我自己也不大懂,经过努力,幸好搞定. 蛋疼的事情出来了,当编辑框失去焦点时候,再插入图片时候总是插入在最前面(谷歌和火狐,IE没问题).还没搞定,,, <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/

js在一个可编辑的div光标处插入图片或者文本（兼容ie，火狐等浏览器）

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Typ

[ jquery 文档处理 prepend(content|fn) ] 此方法用于向每个匹配的元素内部前置内容,这是向所有匹配元素内部的开始处插入内容的最佳方式

向每个匹配的元素内部前置内容,这是向所有匹配元素内部的开始处插入内容的最佳方式实例: <html lang='zh-cn'> <head> <title>Insert you title</title> <meta http-equiv='description' content='this is my page'> <meta http-equiv='keywords' content='keyword1,keyword2,keywor

解决从光标处插入图片光标消失的问题

最近在做一个富文本编辑器,当鼠标单击事件发生在编辑区域外以后,光标就会消失,那么execCommand()方法就不能在编辑器处执行. 此时需要记录下光标消失的位置,一下几篇博文帮助非常大,记录下,以便后续学习使用. 1. TheViper,说的很详细 http://www.cnblogs.com/TheViper/p/4303158.html 2.这块说的一幕了然 http://w3cboy.com/post/2015/06/iframe-insert-picture-cursor/ 以上代码

asp.net ClientScript.RegisterStartupScript与rsponse.write("<script>alert()</script>")区别

rsponse.write("<script>alert()</script>")可能会影响页面的布局并且只能调用javascript的内置函数 ClientScript.RegisterStartupScript(Page.GetType(), "", "<script>window.open('default2.aspx')</script>")) 可以调用前台的自定义javascript函数和

使用JS在textarea在光标处插入内容

// 在光标处插入字符串 // myField 文本框对象 // myValue 要插入的值 function insertAtCursor(myField, myValue) { //IE support if (document.selection) { myField.focus(); sel = document.selection.createRange(); sel.text = myValue; sel.select(); } //MOZILLA/NETSCAPE support