换成引用js文件就是了嘛,不一定非要用iframe
On 2月18日, 上午9时01分, X4ng <[email protected]> wrote:
> 在跨站一个网站时,发现一个问题<script>alert('xss');</script>正常执行
>
> 可输入<iframe src=http://www.baidu.comwidth=10
> height=10></iframe>,却执行不了,以为是被过滤了,可查看源文件时,看到的是
> 根本没有被插入这段代码.<iframe src=http://www.baidu.comwidth=10
> height=10></iframe>,就像被删除了一样.
>
> 可是<iframe width=10 height=10>,却可以在页面插入一个iframe框,<iframe width=10
> height=10></iframe>也不能被执行,且被删除.
>
> window.open()这个javascript代码,也不行,根本看不到过滤的结果,就好像是被删除.
>
> 在线,等解,谢谢.
>
> --
> 世之奇伟
> 瑰怪
> 非常之观
> 常在于险远
> 而人之所罕至焉
> 故非有志者不能至也
> msn:[email protected] <msn%[email protected]>
> mail:[email protected] <mail%[email protected]>
--~--~---------~--~----~------------~-------~--~----~
要向邮件组发送邮件,请发到 [email protected]
要退订此邮件,请发邮件至 [email protected]
-~----------~----~----~----~------~----~------~--~---
