日期:2014-05-16  浏览次数:20616 次

求大神: <span id="lbl1">your enter: <script>alert('123')</script></span>
想感受一下.net 的脚本注入攻击。
前台一个textbox 一个button 和一个label。
        <asp:TextBox ID="txt1" runat="server"></asp:TextBox>
        <asp:Button ID="btn1"
            runat="server" Text="Button" onclick="btn1_Click" />
        <br />
        <asp:Label ID="lbl1" runat="server" Text="Label"></asp:Label>

后台代码如下
   protected void btn1_Click(object sender, EventArgs e)
    {
        lbl1.Text = "your enter:"+ txt1.Text;
    }
我在文本框中输入 <script>alert('你好啊')</script>以后,没有弹窗。
 查看源代码 显示 是 <span id="lbl1">your enter: <script>alert('123')</script></span>。
想问下是不是<span>标签里的 JS代码不执行啊?
------解决方案--------------------
应该是浏览器屏蔽了吧,有的浏览器可以的