代码如下
$("#wqwqw").bind("click",function(){
window.location.href=window.location.origin+"test.html";
})
我感觉几行代码没有问题,但是代码扫描漏洞,说是 基于dom的xss攻击,
这几行代码,也没有页面传的参数啊,理解不了,脑壳疼,大佬们请赐教
基于DOM的XSS 的 如何解决
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
technologist_30 2021-05-15 00:12关注是由于DOM结构修改导致的,基于浏览器DOM解析的攻击 用户打开带有恶意的链接 浏览器在DOM解析的时候直接使用恶意数据 用户中招 常见的触发场景就是在修改innerHTML outerHTML document.write的时候
本回答被题主选为最佳回答 , 对您是否有帮助呢?评论 打赏解决 1无用举报 分享
- 2022-03-05 13:51Artisan_w的博客 防止基于 DOM 的 XSS 规则1 原则:HTML 转义,然后 JavaScript 转义,然后再将不受信任的数据插入到执行上下文中的 HTML 子上下文中 有多种方法和属性可用于在 JavaScript 中直接呈现 HTML 内容。这些方法构成了执行...
- 2024-05-09 11:13世界尽头与你的博客 当来自攻击者控制的源(如或)的数据不安全地传输到接收端时,就会发生DOM漏洞。接收端是可以执行或呈现有害内容的函数或对象(例如eval()源是攻击者可以操纵的输入,包括URL、Cookie和Web消息。接收端是潜在危险的...
- 2024-08-18 19:39鹿屿二向箔的博客 DOM型XSS(Document Object Model Cross-Site Scripting)是一种特殊的跨站脚本攻击方式,它发生在客户端而不是服务器端。在这种类型的XSS攻击中,恶意脚本不是直接通过服务器响应传送到用户浏览器,而是通过浏览器...
- 2022-07-31 17:30CKL0g1c的博客 其次则是Dom型XSS因为它能绕过大部分浏览器的过滤,再其次才是反射型XSS反射型的xss还要深思熟虑的考虑根据浏览器去bypass各种过滤,易用性稍微差一些(注意反射型xss和dom型xss都需要在url加入js代码才能够触发)非...
- 2024-08-18 14:52不让学习就跳海的博客 基于DOM的XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它利用了浏览器中的DOM(文档对象模型)来执行恶意脚本。DOM是浏览器将HTML文档解析为可操作对象的表示方式。基于DOM的XSS攻击通常发生在客户端,...
- 2025-04-27 22:59阿贾克斯的黎明的博客 漏洞源于前端代码逻辑缺陷:开发者未对 DOM 操作的数据源进行安全过滤,导致恶意数据被解析为可执行脚本。与其他 XSS 的区别类型存储位置触发方式依赖条件存储型 XSS服务器数据库服务器主动渲染恶意内容服务器端过滤...
- 2023-06-21 16:092021计算机网络技术2班-盘福林的博客 利用DOM XSS攻击时,payload 是由浏览器的 DOM 接收和处理的,这意味着注入的代码永远不会在服务器端运行,并且任何服务器端验证或编码都对这种攻击无效。浏览器登入靶机IP,转到 Mutillidae II | OWASP 2013 | XSS ...
- 2020-12-23 00:22VodkaDL的博客 文章目录前言基于DOM的XSS总结 前言 基于DOM的XSS 总结
- 2024-03-05 17:49夏天的海!的博客 这里就是一个由于⾮标准化的 DOM ⾏为,浏览器有时可能会向各种 DOM 元素添加 name & id 属性,作为对⽂档或 全局对象的属性引⽤,但是,这会导致覆盖掉 document原有的属性或全局变量,或者劫持⼀些变量的内容 通过...
- 2023-06-27 13:4321级计算机网络技术2班-韦宗南的博客 而存储型XSS和基于DOM的XSS的效果更好,危害也更大。反射型XSS,相对来说,危害较低,需要用户点击特定的链接才能触发。存储型XSS,会把攻击代码保存到数据库,所以也叫持久型XSS,因为它存在的时间是比较长的。DOM ...
- 没有解决我的问题, 去提问
