悬空的标记注射
在本节中,我们将解释悬空的标记注射,典型的利用方式以及如何防止悬空的标记攻击。
什么是悬空的标记注射?
悬空标记注射是一种在无法进行完整的跨站点脚本攻击的情况下捕获数据跨域的技术。
假设应用程序以不安全的方式将可控制者的数据嵌入其响应中:
还假设应用程序不会过滤或逃脱>
或者“
人物。攻击者可以使用以下语法来突破引用的属性值和封闭标签,然后返回到HTML上下文:
“>
在这种情况下,攻击者自然会尝试执行XSS。但是,由于输入过滤器,内容安全策略或其他障碍,假设不可能进行常规XSS攻击。在这里,使用有效载荷以下有效载荷可能仍然可以发出悬空的标记注射攻击:
“> <