在我看过的几乎所有XSS缓解指南中,都提到了以下模式:
<img src="javascript:evil();">
这有什么合法的用途吗?你能否使用JS代码生成Base64编码的表示或其他东西呢?
<img src="javascript:evil();">
这有什么合法的用途吗?你能否使用JS代码生成Base64编码的表示或其他东西呢?
它没有很多合法的用途。
它的工作方式可能是因为你可以在此使用任何协议,一些浏览器实现了javascript
伪协议,可以从多个地方调用。
javascript:
协议用于<img>
元素 - 请尝试这个:http://jsfiddle.net/LXwM9/ - Richard JP Le Guensrc
属性使用它。 - alex我不知道是否有合法的用途,但一些浏览器(通常是旧版本)会执行JavaScript。请参阅OWASP XSS过滤器逃避Cheat Sheet。
ha.ckers.org
的 XSS 作弊表,但现在看起来它重定向到了 OWASP 列表。太糟糕了;我记得它曾经更深入一些。 - Richard JP Le Guen