SRC挖掘漏洞XSS

Markdown是一种轻量级标记语言,创始人为约翰·格鲁伯(John Gruber)。它允许人们使用易读易写的纯文本格式编写文档,然后转换成有效的 XHTML(或者HTML)文档。这种语言吸收了很多在电子邮件中已有的纯文本标记的特性。

self型XSS的原理

1.功能需要支持Markdown语法
2.能执行html标签写法

(DOM型XSS另一个名字罢了)

1.看到这个#、##、-、``发现能支持是Markdown语法

Markdown语法是可以直接执行html标签的!!!也就是能尝试JavaScript代码

2.用户输入:1 ---> 渲染导图 -> 页面显示:1 (符合XSS原理)

3.用户输入:JS ---> 渲染导图 -> 页面显示:JS (JS代码被执行)

<font color="red">红色</font>

4.1 第一步:用户输入:JavaScript代码 :<img src="x">

4.2 第二步:用户点击:渲染导图

4.3 第三步:浏览器网站:插入到HTML标签,显示在网页上

4.4 第四步:浏览器网站:网页执行JavaScript弹窗代码

Don型XSS总结

原理:用户输入的内容(在前端:构造的JavaScript代码内容!!!) -> 被前端代码执行(在前端:被网页JavaScript代码解析执行构造的JavaScript代码内容!!!) -> 最后又在前端显示

没看够~?欢迎关注!

免费领取安全学习资料包!

渗透工具

技术文档、书籍

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

应急响应笔记

学习路线

相关推荐
云栖梦泽在3 分钟前
在线 IP 检测工具能看到哪些信息?从公网 IP、ASN 到浏览器环境一文讲清
网络·网络协议·tcp/ip
fei_sun17 小时前
开放最短路径优先OSPF----基于链路状态
网络
精明的身影17 小时前
网络计划WebApp求解:融合Python与AI决策的项目管理系统
网络·python·web app
Let's Chat Coding18 小时前
对称密钥认证:主机和设备共享同一把密钥
运维·服务器·网络
anbingsoft1218 小时前
企业加密软件软件有哪些?企业加密软件:让设计图纸安全无忧,年度热销
网络·安全·电脑
fei_sun19 小时前
虚拟局域网VLAN
网络
技术不好的崎鸣同学20 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Web极客码21 小时前
跨国网络抖动下的 AI 爬虫流调优:我如何用 Claude 打造“智能退避”资讯清洗管道
网络·人工智能·爬虫
磐时信息技术21 小时前
GB 44495/44496正式施行:智能网联汽车信息安全与软件升级进入强制合规阶段
网络安全·信息安全·汽车·gb44495·gb44496
念何架构之路21 小时前
moby-http-api-server
网络·网络协议·http