利用 Data URI Scheme進行XSS
這種方法不算新,但是不多人用,也不多人能想獲得。
data:相似於javascript.:,在很大程度上,能夠完成javascript的工做.
舉一個例子:
進行XSS測試時,發現javascript與script等關鍵字都被過濾了(如今通常有點XSS意識的管理員都懂得過濾這兩個關鍵字)。可用下面的語句:
data:text/html;base64,PHNjcmlwdD5hbGVydCgieHNzIik8L3NjcmlwdD4=
這語句和 javascript.:alert("xss") 或者 <script>alert("xss")</script> 做用是同樣的。
data:的語法從上面的語句中也能夠看得很清楚了,base64爲編碼方式,能夠任意改,能夠UTF-8能夠UTF-7,只要後面編碼後的內容作相應的更改就能夠了。不單單是彈窗,若是想src到一個JS腳本,也是徹底能夠的。
javascript
HTML中支持標籤屬性內嵌入data uri scheme的有:html
object java
iframe. anchor img 等。xss
SuperHei對data:的總結是:
1.能夠指定MIME-type如text/html
2.能夠指定編碼如data:;charset=UTF-8,Hello
3.firefox/ie8/Opera等支持它測試
相關文章
- 1. Data URI Scheme,base64
- 2. Data URI scheme
- 3. Data URI scheme(轉)
- 4. 什麼是data URI scheme及如何使用data URI scheme
- 5. data URI scheme及其應用
- 6. 網頁優化URI(http URI scheme與data URI scheme)
- 7. Data URI scheme (data: base64) 協議經常使用數據格式
- 8. Data URI 詳解
- 9. Data URI scheme:data:image/jpeg;
- 10. 關於Data URI
- 更多相關文章...
- • traceroute命令進行路由跟蹤 - TCP/IP教程
- • 基於ARP協議進行掃描 - TCP/IP教程
- • 爲了進字節跳動,我精選了29道Java經典算法題,帶詳細講解
- • Composer 安裝與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. CVPR 2020 論文大盤點-光流篇
- 2. Photoshop教程_ps中怎麼載入圖案?PS圖案如何導入?
- 3. org.pentaho.di.core.exception.KettleDatabaseException:Error occurred while trying to connect to the
- 4. SonarQube Scanner execution execution Error --- Failed to upload report - 500: An error has occurred
- 5. idea 導入源碼包
- 6. python學習 day2——基礎學習
- 7. 3D將是頁遊市場新賽道?
- 8. osg--交互
- 9. OSG-交互
- 10. Idea、spring boot 圖片(pgn顯示、jpg不顯示)解決方案
歡迎關注本站公眾號,獲取更多信息
相關文章