1
在几乎每一个XSS缓解导游,我已经看到了,下面的模式中提到:为什么在<img>标签的src属性中允许javascript:URI?
<img src="javascript:evil();">
可这可能有什么合法使用?你可以使用JS代码来生成一个base64编码表示或什么?
A
回答
1
它没有很多合法用途。
它的工作方式可能是因为您可以使用任何协议,并且一些浏览器实现了可以从多个地方调用的伪协议javascript。
+0
尽管现代浏览器不支持''元素的'javascript:'协议 - 试试这个:http://jsfiddle.net/LXwM9/ –
+0
@RichardJPLeGuen Firefox禁用了它的地址栏。看起来,一些浏览器仍然必须允许src'属性。 – alex
+0
我只是不会称这些为现代浏览器:P –
1
我不知道合法使用,但有些浏览器(通常是较旧的)会执行JavaScript。 See the OWASP XSS Filter Evasion Cheat Sheet。
+0
我想链接到'ha.ckers.org' XSS备忘单,但它看起来像现在重定向到OWASP列表。太糟糕了;我似乎记得它更深入。 –
相关问题
- 1. 为什么在xml属性中不允许使用字符'<'?
- 2. 为什么我的img标签src属性失败的路径?
- 3. 什么是“?”在html脚本标签的src属性中?
- 4. 什么可能存储在图像标签的src属性中?
- 5. Struts标签不会允许脚本在标签的属性
- 6. <a>标签的属性属性是什么?
- 7. 为什么在ID属性中允许声明@ + id
- 8. 为什么输入标签不允许直接在表单标签中使用?
- 9. ASP:ItemTemplate中的DropDownList:为什么允许SelectedValue属性?
- 10. DSE图形标签名称和属性键的允许字符是什么?
- 11. 为什么它允许将bgColor添加到<head>和<table>标记作为属性
- 12. <input>标签中'acceskey'属性的用法是什么?
- 13. 为什么C#中不允许使用通用属性?
- 14. 去除TSQL中允许的HTML标签和属性
- 15. strip_tags在属性内删除允许的标签
- 16. 错误:id属性是不允许在组件的根标签
- 17. 使用JS变量设置<script>标签的src属性
- 18. Scala XML API:为什么允许NodeSeq作为属性值?
- 19. Xslt生成Html <IMG>标签。如何使用XML节点值作为SRC属性为<IMG>标签
- 20. javascript src属性中的rootpath是什么?
- 21. 为什么不允许锁定(<integer var>),但允许Monitor.Enter(<integer var>)?
- 22. 为什么我的XSD允许在我的XML中使用禁止的属性?
- 23. 无法传递<img>标签src属性参数
- 24. 为什么HTML中的<style>标签具有类型属性?
- 25. Java为什么允许标签远离循环?
- 26. 在Javascript字符串中找到<img>标签的src属性值
- 27. 内的<option>“标签”属性有什么意义?
- 28. <option>真正用于的标签属性是什么?
- 29. 为什么对象类不允许属性?
- 30. 为什么PHP允许从类外部创建类属性?
它似乎从[这](http://stackoverflow.com/questions/116967/img-src-tags-and-javascript)我的建议是不允许的。 – wwaawaw