0

すべてのタグがテキストから削除された場合、XSS 攻撃を実行することは可能ですか? パターン「<...>」(正規表現:/<.*?>/g)に一致するすべてを意味するタグによる。

4

1 に答える 1

2

はい:

<img src=x onerror=alert(1)//

独自のフィルターを発明しないでください。OWASP XSS 防止チート シートで説明されているように、コンテキストをエンコードします。

于 2016-06-10T06:06:54.013 に答える