背景:url(“javascript:.”)不再起作用了?
背景:url(“javascript:.”)不再起作用了?
提问于 2016-02-21 17:14:17
作为前端工程师,我正在学习XSS的预防。
根据OWASP文档,下面的代码应该从用户输入中过滤。但是当我在我的chrome浏览器和safari浏览器上测试它时,它似乎不起作用。
<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>这是现在的浏览器禁止的吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2016-02-23 11:21:17
我相信这是旧版本的(版本6 IIRC)中的攻击矢量。
如果您的任何用户仍在使用旧浏览器,或者浏览器供应商出于任何原因重新引入此功能,则禁止使用此功能仍然是很好的做法。
我有在这里找到了一个参考资料
在IE6中,javascript伪方案在任何URI中执行。
<input style="background: url(javascript:alert(1))">
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/35539229
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号