首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    mXSS简述

    不论是服务器端或客户端的XSS过滤器,都认定过滤后的HTML源代码应该与浏览器所渲染后的HTML代码保持一致,至少不会出现很大的出入。然而,如果用户所提供的富文本内容通过javascript代码进属性后,一些意外的变化会使得这个认定不再成立:一串看似没有任何危害的HTML代码,将逃过XSS过滤器的检测,最终进入某个DOM节点中,浏览器的渲染引擎会将本来没有任何危害的HTML代码渲染成具有潜在危险的XSS攻击代码。随后,该段攻击代码,可能会被JS代码中的其它一些流程输出到DOM中或是其它方式被再次渲染,从而导致XSS的执行。 这种由于HTML内容进后发生意外变化(mutation,突变,来自遗传学的一个单词,大家都知道的基因突变,gene mutation),而最终导致XSS的攻击流程,被称为突变XSS(mXSS, Mutation-based Cross-Site-Scripting)。

    02

    CDATA和转义字符

    被<![CDATA[]]>这个标记所包含的内容将表示为纯文本,比如<![CDATA[<]]>表示文本内容“<”。   此标记用于xml文档中,我们先来看看使用转义符的情况。我们知道,在xml中,”<”、”>”、”&”等字符是不能直接存入的,否则xml语法检查时会报错,如果想在xml中使用这些符号,必须将其转义为实体,如”<”、”>”、”&”,这样才能保存进xml文档。   在使用程序读取的时候,解析器会自动将这些实体转换回”<”、”>”、”&”。举个例子: <age> age < 30 </age>   上面这种写法会报错,应该这样写: <age> age < 30 </age>   值得注意的是:   (1)转义序列字符之间不能有空格;   (2) 转义序列必须以”;”结束;   (3) 单独出现的”&”不会被认为是转义的开始;   (4) 区分大小写。   在XML中,需要转义的字符有:   (1)&   &   (2)<   <   (3)>   >   (4)"   "   (5)'   '   但是严格来说,在XML中只有”<”和”&”是非法的,其它三个都是可以合法存在的,但是,把它们都进行转义是一个好的习惯。   不管怎么样,转义前的字符也好,转义后的字符也好,都会被xml解析器解析,为了方便起见,使用<![CDATA[]]>来包含不被xml解析器解析的内容。但要注意的是:   (1) 此部分不能再包含”]]>”;   (2) 不允许嵌套使用;   (3)”]]>”这部分不能包含空格或者换行。   最后,说说<![CDATA[]]>和xml转移字符的关系,它们两个看起来是不是感觉功能重复了?   是的,它们的功能就是一样的,只是应用场景和需求有些不同:   (1)<![CDATA[]]>不能适用所有情况,转义字符可以;   (2) 对于短字符串<![CDATA[]]>写起来啰嗦,对于长字符串转义字符写起来可读性差;   (3) <![CDATA[]]>表示xml解析器忽略解析,所以更快。

    02
    领券