XSS && CRLF && property&attribute

标签：参数   定义   字符串   回车   命名   头信息   默认   直接   部分   

XSS

　　cross-site scripting 跨站点脚本，为了避免与css冲突，命名为XSS。它是将恶意代码作为一个网页内容，这些恶意代码会注入到用户的浏览器中并执行，从而使用户受到攻击，常见的有窃取用户的cookie。对web服务器无直接危害。　　

　　解决方法：

　　在服务器端通过filter过滤检查提交参数的合法性。

CRLF

      HTTP响应拆分漏洞，也叫CRLF注入攻击。CR，LF分别对应回车和换行字符，如果用户输入的值部分注入了CR，LF，可能改变HTTP抱头结构。

      攻击者通过注入自定义的HTTP头信息，进行XSS攻击。

property & attribute

　　property 是DOM中的属性，是javascript里的对象。

       attribute是HTML标签上的特性，它的值只能是字符串

　　DOM有默认的基本属性，它们都会在初始化时在DOM对象上创建。

　　attribute是property的一个子集，它保存了HTML标签上定义的属性，attribute会初始化property 中的同名属性，但自定义的attribute不会出现在property中。

XSS && CRLF && property&attribute

标签：参数   定义   字符串   回车   命名   头信息   默认   直接   部分   

原文地址：http://www.cnblogs.com/wust-hy/p/7466645.html