0x00前言 我們友情進行XSS檢查，偶然跳出個小彈窗，其中我們總結了一些平時可能用到的XSS插入方式，方便我們以后進行快速檢查，也提供了一定的思路，其中XSS有反射、存儲、DOM這三類，至於具體每個類別的異同之處，本文不做學術介紹，直接介紹實際的插入方式。 0x01 常規插入 ...

大家都知道，普遍的防御XSS攻擊的方法是在后台對以下字符進行轉義：<、>、’、”，但是經過本人的研究發現，在一些特殊場景下，即使對以上字符進行了轉義，還是可以執行XSS攻擊的。 首先看一個JS的例子 ...

當攻擊者發現目標站點存在CDN防護的時候，會嘗試通過查找站點的真實IP，從而繞過CDN防護。我們來看一個比較常見的基於公有雲的高可用架構，如下：CDN（入口層）->WAF（應用層防護）-> SLB（負載層）-> ECS（源站） -> RDS（數據庫）即對應關系為：域名 ...

概述 　　XSS(Cross Site Script）全稱跨站腳本攻擊，為了跟CSS區分開來，所以變成了XSS。它允許惡意代碼植入到正常的頁面中，盜取正常用戶的賬號密碼，誘使用戶訪問惡意的網站。 攻擊 　　實施XSS攻擊必須具備兩個條件 向web頁面注入惡意代碼。 這些惡意代碼 ...

防住html 方式插入到頁面中的即可，需要根據具體的項目來防護。有一種防護是將所有的外部危險的數據都過濾掉： 1. function xssFilterStr(e) { var t = { scriptReg: /<\s*script(.*?)\s*>|<\s*\/\s ...

阻止攻擊的常用方法是：在將HTML返回給Web瀏覽器之前，對攻擊者輸入的HTML進行編碼。HTML編碼使用一些沒有特定HTML意義的字符來代替那些標記字符（如尖括號）。這些替代字符不會影響文本在web瀏覽器上的顯示方式，僅僅用於阻止HTML渲染引擎將數據識別成HTML標記。這種方法能阻止一些XSS ...

　　　　最近在做項目中的漏洞修復工作，在短時間內接觸到很多關於web開發需要防范的漏洞，例如SQL injection , XSS, CSRF等等，這些漏洞對web開發的項目來說的破壞還是比較大的，其實在網上有很多這些漏洞的介紹和防范，像SQL injection這些漏洞的注入已經很少見 ...

（三）XSS 攻擊防護——X-XSS-Protection X-XSS-Protection 顧名思義，這個響應頭是用來防范XSS的。最早我是在介紹IE8的文章里看到這個，現在主流瀏覽器都支持，並且默認都開啟了XSS保護，用這個header可以關閉它。它有幾種配置： 0：禁用XSS保護 ...