码迷,mamicode.com
首页 > 其他好文 > 详细

XSS && CRLF && property&attribute

时间:2017-09-02 15:40:37      阅读:146      评论:0      收藏:0      [点我收藏+]

标签:参数   定义   字符串   回车   命名   头信息   默认   直接   部分   

XSS

  cross-site scripting 跨站点脚本,为了避免与css冲突,命名为XSS。它是将恶意代码作为一个网页内容,这些恶意代码会注入到用户的浏览器中并执行,从而使用户受到攻击,常见的有窃取用户的cookie。对web服务器无直接危害。  

  解决方法:

  在服务器端通过filter过滤检查提交参数的合法性。

CRLF

      HTTP响应拆分漏洞,也叫CRLF注入攻击。CR,LF分别对应回车和换行字符,如果用户输入的值部分注入了CR,LF,可能改变HTTP抱头结构。

      攻击者通过注入自定义的HTTP头信息,进行XSS攻击。

property & attribute

  property 是DOM中的属性,是javascript里的对象。

       attribute是HTML标签上的特性,它的值只能是字符串

  DOM有默认的基本属性,它们都会在初始化时在DOM对象上创建。

  attribute是property的一个子集,它保存了HTML标签上定义的属性,attribute会初始化property 中的同名属性,但自定义的attribute不会出现在property中。

XSS && CRLF && property&attribute

标签:参数   定义   字符串   回车   命名   头信息   默认   直接   部分   

原文地址:http://www.cnblogs.com/wust-hy/p/7466645.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!