xss を使用する場合、ALERT('DSSA'); と入力するのと、単に検索テキスト フィールドに貼り付けるのとでは、どのような違いがありますか? サイトでは、入力するとアラートが表示されますが、貼り付けるだけでは機能しません。質問を避けるために、私はどのサイトもハッキングしたくありません。ネットワーク セキュリティに関心があるだけです。
答えてくれてありがとう
2 に答える
2
これは、Web サイトを構築したプログラマーが怠け者で、onpasteイベントを聞いていないためです。
入力するとonkeydown、onkeypressおよびonkeyupイベントが発生し、 は、ユーザー入力を監視する際に考慮すべき標準イベントです。
プログラマーがリッスンしたイベントはこれらだけのようです (これにより、ネットワーク セキュリティとは無関係になります)。
そうでない場合は、イベントに 2 つの異なるイベント ハンドラーを使用することになります。1 つは入力を逃れるもので、もう 1 つは忘れられているものです。
于 2012-09-28T10:03:51.340 に答える
1
私は質問を正しく理解していなかったかもしれません。
要素にトリガーとイベントを入力keyUpしますkeyDown。keyPressコードがそれらのみをキャプチャするようにプログラムされている場合、それらのイベントのみがキャプチャされます。
貼り付けは、キーボード、マウス、およびブラウザー オプションを使用して行うことができます。したがって、これは、リッスンしているイベントにも依存します。onpasteすべてを緩和するという別のイベントがあります。
つまり、「Ctrl」+「v」を押すだけで貼り付けをキャプチャするようにコードが書かれているとしましょうが、マウスとブラウザのオプションを使用して要素に貼り付けると、マウスイベントもキャプチャするように構成されます。キャプチャできません。
于 2012-09-28T10:02:48.963 に答える