代码之家  ›  专栏  ›  技术社区  ›  Philip Pittle

XSS-哪些浏览器自动转义地址栏中的URL?

penetration-testing xss browser asp.net javascript
  •  7
  • Philip Pittle  · 技术社区  · 10 年前

    我一直在表演 / / 在我的 网站最近,并注意到 (即最新的FF和Chrome)正在逃避输入地址栏的URL。

    因此:

    http://example.com/search/?q= “><script>警报('hi');<!/script>

    发送到我的服务器:

    http://example.com/search/?q=%22%3e%3cscript%3ealert(%27hi%27)%3b%3c%2fscript%3e

    是否有一个所有(主要)浏览器的列表,可以做到这一点,也可以不做?移动浏览器会这样做吗?

    2 回复  |  直到 10 年前
        1
  •  2
  •   Community CDub    3 年前

    我认为所有的浏览器都逃避URL,除了那些有bug并且不遵循RFC的浏览器( RFC3986 ).

        2
  •  1
  •   Margus    10 年前

    如果我没弄错,你可以用 http://browsershots.org/ 或者类似的东西来测试它。

    示例测试: http://browsershots.org/requests/12461378

    推荐文章
    Jesse Winton  ·  在浏览器中编译用户HTML并使用React显示结果
    2 年前
    LetsOMG  ·  如何在系统服务中正确使用python webbrowser
    6 年前
    F. Ception  ·  重新加载页面后保存浏览器控制台变量
    6 年前
    Ibrahim D.  ·  PAC文件能否包含查询字符串?
    6 年前
    marquesm91  ·  创建在智能电视浏览器上运行的react应用程序
    6 年前
    Jas  ·  Chrome未连接到Java HTTP服务器
    6 年前
    user856232  ·  浏览器文件夹上载
    7 年前
    NtFreX  ·  检查firefox中是否临时禁用了浏览器通知
    7 年前
    BarriaKarl  ·  在网页上运行基于java(FX)的应用程序
    7 年前
    Detuned  ·  Instabot如何在浏览器中执行操作?
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号