从输入文本中删除标签时的 XSS
XSS when tags are removed from input text
如果从文本中删除所有标签,是否可以执行 XSS 攻击?通过标签表示所有匹配模式“<...>”(正则表达式:/<.*?>/g)。
是:
<img src=x onerror=alert(1)//
不要发明自己的过滤器。按照 OWASP XSS Prevention Cheat Sheet.
中所述对上下文进行编码
如果从文本中删除所有标签,是否可以执行 XSS 攻击?通过标签表示所有匹配模式“<...>”(正则表达式:/<.*?>/g)。
是:
<img src=x onerror=alert(1)//
不要发明自己的过滤器。按照 OWASP XSS Prevention Cheat Sheet.
中所述对上下文进行编码