日期:2014-05-19  浏览次数:21046 次

50分!今天晚上就结贴!!!
看到关于跨站点脚本攻击的东西,想做点试验
我往一个text中输入 <script> alert( 'hi '); </script>
可以在html源文件中看到
<input   name= "SelectContent "   type= "text "   value= " <script> alert( 'hi '); </script> "   id= "SelectContent "   style= "width:150px; "   />
但是却没有出现我料想中的对话框,为什么???

------解决方案--------------------
实际 <script> text中值是&lt;script&gt;
会自动转换的
------解决方案--------------------
textbox 的Value值不支持Html语言的只取Value的值而不进行解释的
label 是对其value进行解释的
------解决方案--------------------
你直接Reponse.Write你的东西就看到XSS了。
------解决方案--------------------
提交一下内容
"/> <script> alert( 'hi '); </script> "

如果未过滤,那么页面里就是
<input name= "SelectContent " type= "text " value= " "/> <script> alert( 'hi '); </script> " " id= "SelectContent " style= "width:150px; " />

//达到目的,弹出窗口,测试成功(自己建立htm测试)