XSS
如何预防 Web 富文本中的 XSS 攻击
· ☕ 3 分钟
1. XSS 原理和常见的几种攻击方式 XSS 攻击是指,通过执行恶意脚本,以实现窃取用户登陆态、劫持会话等目的的攻击方式。恶意脚本的输入源有,Cookies、Post 表单、Get 请求、HTTP 头内容等。通常,我们将一段 XSS 攻击的代码片段称之为 XSS 向量。 常见的 XSS

django-xss-cleaner
· ☕ 3 分钟
django-xss-cleaner 是一个基于 bleach 的 Django XSSFilter 工具包,实现了对 GET 和 POST 请求参数的 XSS 白名单过滤功能。包中内置了部分白名单 HTML 标签、属性设置,同时也支持自定义扩展。项目地址,https://github.com/shaowenchen/django-xss-cleaner 1.

XSS Cheat Sheet
· ☕ 8 分钟
如果使用Chrome浏览器测试XSS向量,请关闭浏览器对XSS的拦截功能。首先,关闭所有Chrome浏览器进程,然后执行: 1 chrome.exe -args --disable-xss-auditor --args --disable-web-security 进入非Web安全模式。 1. 利用<>标记注入HTML/JavaScript 1 <script>alert('XSS')</script> 1 '';!--"<XSS>=&{()} 1 2 //SRC的

XSS 原理、构造
· ☕ 5 分钟
XSS是一种在前端执行JavaScript脚本的攻击方式。随着UGC站点的流行,用户产生数据剧增,数据块的网络连接越来越有利于XSS的实施与传播。XSS带来的危害有:窃取用户cookies,窃取个人信息;劫持会话,操纵用户网络数据;发起dd