【14期-1班-小酒】 关于XSS 跨域的问题求助

小酒   ·   发表于 2021-09-17 13:06:41   ·   问题反馈

一共2个问题

1-link 标签, 和meta标签

事情的起因, 练习XSS的时候,遇到一个网站。 link标签,跟meta标签里面可以让我输入内容。 使用双引号,可以闭合掉。
于是我找了很多资料, 查了link,跟meta标签的js事件

<link rel="pre-fetch" href="javascript:alert(1)">

<meta http-equiv="refresh" content="1;url=javascript:alert(1)" >

但是提示跨域有问题。 执行不了js。如果换成下面这种是可以执行的

<link rel="pre-fetch" href="www.buxiugangdapeng.com">

<meta http-equiv="refresh" content="1;url=www.buxiugangdapeng.com" >

问:1,跨域怎么解决,可以处理吗?2 ,link标签,跟meta标签有其他的事件可以使用吗?

2.关于url@符号

我找了资料。 如果在url中加上@符号, 会直接访问后面的域名。 是前面的协议+@符号后面的域名。这个是没问题的
url=”http://www.zkaq.com@www.buxiugangdapeng.com/test.js
但是, 如果放在 src里面,就不行了, 不知道为啥 浏览器提示,说是跨域的问题。求助

打赏我,让我更有动力~

1 条回复   |  直到 2021-10-11 | 1023 次浏览

by盛夏
发表于 2021-10-11

跨域问题可以考虑一下jsonp解决
参考文章https://www.cnblogs.com/chopper/archive/2012/03/24/2403945.html

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.