存储型XSS:攻击者将恶意脚本上传到目标网站的数据库,用户访问网站时执行这些恶意脚本,达到攻击目的。该攻击经过服务器和数据库
示例Payload 123<u>A</u>123 123<script>alert(/xss/)</script>123 123<img src onerror=alert(/xss/)>123 123<a href=javascript:alert(/xss/)>Click Me</a>123 Run
漏洞场景: 用户交互的地方:get、post、headers、反馈与浏览、富文本编辑器、标签插入和自定义 数据输出的地方:用户资料、关键词、评论、留言、关键词、标签、说明、文件上传
前端实体转义就是将可能是包含HTML标签的内容,先中转存储为纯文本,当浏览器进行渲染时,会将纯文本内容中特殊字符进行实体转义(浏览器策略),确保可以正确展示