我刚刚收到一份安全报告,指出XSS漏洞指向一个JSONP调用,该调用可以在JSONP id上被利用:
http://<domain>/?callback=jQuery278364782634836_234}}7d1ef<script>alert(1)<%2fscript>13c10&_=14531234
据我理解,这是不可能的,因为id是由jQuery生成的。有人能举例说明如何在生产场景中恶意地注入吗?
浏览 116
XSS漏洞指向一个JSONP调用?
图片转代码服务由CSDN问答提供 功能建议
我刚刚收到一份安全报告,指出XSS漏洞指向一个JSONP调用,可以在JSONP ID上加以利用</ p>
http:// <domain> /?callback = jQuery278364782634836_234}} 7d1ef <script> alert(1)<%2fscript> 13c10&_ = 14531234
</ code> </ pre>
据我所知,这是不可能发生的,因为id是由jQuery生成的。 有人可以举例说明如何在生产场景中恶意注入吗?</ p>
</ div>
- 写回答
- 好问题 提建议
- 追加酬金
- 关注问题
- 分享
- 邀请回答
微信扫一扫相关推荐 更多相似问题
- 2022-04-22 18:11回答 1 已采纳 添加拦截器进行过滤处理,需要去除一些脚本字符如script,望采纳! import java.io.IOException; import javax.servlet.FilterChain;
- 2016-04-10 09:00回答 2 已采纳 问答编辑器就是这个鸟样,代码需要用</>这个格式化下才会显示原始代码,要不就会解析,不过不会有xss,js相关代码和处理函数被去掉了
- 2015-03-06 20:49回答 1 已采纳 Yes, looks secure enough, but still not perfect. You also need to call is_file() and ensure it ret
- 2022-03-23 20:50half~的博客 漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面...就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
- 2022-02-15 21:36WEB 面试题汇总-( 文件名称要11个字什么奇葩垃圾规则 )
- 没有解决我的问题, 去提问
