在HTML中常用到的字符實體沒有進行轉譯,會導致完整的標簽出現,因此在可輸入的文本框等某些區域內輸入特定的某些標簽會導致代碼被惡意篡改從而出現xss攻擊,XSS常見漏洞出現的地方有:
1.數據交互的地方:
-get post cookies headers-反饋與瀏覽-富文本編輯器-各類標簽插入和自定義
-get post cookies headers
-反饋與瀏覽
-富文本編輯器
-各類標簽插入和自定義
2.數據輸出的地方:
-用戶資料
-關鍵詞、標簽、說明
-文件上傳