gpt4 book ai didi

css - 背景 :url ("javascript:...") doesn't work anymore?

转载 作者:行者123 更新时间:2023-11-28 12:09:09 26 4
gpt4 key购买 nike

我作为前端工程师正在研究 XSS 预防。

根据 OWASP document ,应从用户输入中过滤以下代码。但是当我在我的 chrome 和 safari 浏览器中测试它时,它似乎不起作用。

<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>

现在的浏览器禁止这样做吗?

最佳答案

我相信这是旧版 Internet Explorer(第 6 版 IIRC)中的一个攻击媒介。

如果您的任何用户仍在使用旧浏览器,或者浏览器供应商出于任何原因重新引入此功能,则最好禁止此操作。

我已经 found a reference for this here :

In IE 6, javascript pseudo scheme executes in any URI.

<input style="background: url(javascript:alert(1))">

关于css - 背景 :url ("javascript:...") doesn't work anymore?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35539229/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com