DVWA-XSS(Reflected)
反射型XSS可以用来窃取cookie
Low
输入1111进行测试,发现1111被打印
输入,出现弹窗,获得cookie
Medium
查看后端代码,发现对转义后的字符串
这样浏览器会将其作为普通文本显示,而不是执行。
防御
1.http-only禁止js语句获取cookie
2.过滤输入的字符,例如 “ ’ ”,“ ” ”,“” 等非法字符;
3.对输入到页面的数据进行编码
反射型XSS可以用来窃取cookie
输入1111进行测试,发现1111被打印
输入,出现弹窗,获得cookie
查看后端代码,发现对转义后的字符串
这样浏览器会将其作为普通文本显示,而不是执行。
1.http-only禁止js语句获取cookie
2.过滤输入的字符,例如 “ ’ ”,“ ” ”,“” 等非法字符;
3.对输入到页面的数据进行编码