HTML5去掉了很多过时的标签,例如
HTML5引入的新标签包括、、、、
下面我们要讲到就是这些关键载体。它允许创建XSS的变种并且可以绕过现有的XSS过滤器。
首先来看一个标签:
它使用了一个source标签,而没有指定具体的src,所以后面的onerror方法会立即得到执行。
下面是video的poster属性,它链接到一个图像,是指当视频未响应或缓冲不足时,显示的占位符。
另外还有HTML5新引入的autofocus和formaction属性,autofocus会让元素自动的获取焦点,而formaction属性能覆盖 form 元素的action 属性。
在这个项目里存在用户输入的地方,我们虽然已经针对旧有的标签以及属性进行了过滤和清洗,但是还会存在新标签攻击的漏洞,攻击者利用上面的示例方式就可以对系统进行XSS注入攻击。例如攻击者输入http://www.yujie.com/1.php?text=)”>时就能立即运行攻击脚本。
我们对此攻击的防御方式是,对前端或者后端的过滤器进行优化,添加过滤规则或者黑名单。
以上就是关于新标签攻击的全部内容介绍,希望对大家的学习有所帮助。
本文仅代表作者观点,不代表本站立场。 本文系作者授权发表,未经许可,不得转载。本文地址:/websafe/yejie/149950.html
打开手机扫描上面的二维码
潘少俊衡
Powered By EmpireCMS
爱享小站
中德益农
谷姐神农
环亚肥料
桂ICP备2023010378号-4
桂公网备 45012202000125号
联系我们
商业合作
广告投放
投稿须知
使用手机软件扫描微信二维码
关注我们可获取更多热点资讯
感谢潘少俊衡友情技术支持
