1. Bildinsertion
Die farbenfrohen Webseiten, die wir heute betrachten, sind alle aufgrund der Auswirkungen von Bildern. Bilder können in HTML -Seiten eingefügt werden. Häufig verwendete Bildformate auf Webseiten sind JPEG und GIF. Es gibt nur ein Tag zum Einfügen des Bildes, dh, das <img> Tag, das allgemeine Format lautet: <img src = Dateiname>. Dem SRC -Attribut muss ein Wert im <img> -Tag zugewiesen werden. Dieser Wert kann der Pfad- und Dateiname der Bilddatei sein und auch die URL sein. Darüber hinaus gibt es im <img> -Tag häufiger verwendete Attribute.
① ALT = Funktion soll den Text einstellen, der angezeigt wird, wenn sich die aktuelle Maus zum Bild bewegt.
②Width = wirkt die Breite des Bildes.
③Height = wird verwendet, um die Höhe des Bildes einzustellen.
Zum Beispiel: <img Src = Bild/1.Gif Src = "/Uploads/Allimg/140625/11541U642-0.gif"/>
(Abbildung 2)
Geben Sie den Cross-Site-Code <Script> Alert (CMD) </script> in das Eingabefeld der vollständigen URL-Adresse ein. Nach der Einreichung wurde festgestellt, dass es keinen Querplatz-Effekt gab. Wie in Abbildung 3 gezeigt, wurden die Daten nach Eingabe des Cross-Site-Codes zurückgegeben. Aus diesem Grund wird gezeigt, dass das System unsere Daten nicht filtert. Dies ist eine empirische Frage, und alle schlechten Freunde sollten sich daran erinnern.
(Abbildung 3)
Wenn in Zukunft einige Zeichen in den zurückgegebenen Daten nach dem Schreiben von Cross-Site-Code angezeigt werden, wie das Schlüsselwort <Script>, wird im Allgemeinen eine Quersitätsanfälligkeit angezeigt. Wenn Sie sich nicht wohl fühlen, können Sie den Quellcode anzeigen und die Suchfunktion von Notepad verwenden, um Cross-Site-Schlüsselwörter zu finden. Es gibt keine Codes-Codes-Filterung. Warum gibt es also keine Kreuzung? Dies liegt daran, dass der Cross-Site-Code in HTML durch Zitate, <und> blockiert wird. In diesem Fall ist es als erstes, den Code zu überprüfen, der zum Client zurückkehrt und den Cross-Site-Code ermittelt. Hier müssen wir nur nach dem Keyword CMD suchen. Hier ist der Schlüsselquellencode gefunden: <td width = 198 HEIGHEIT = 32> avatar <img id = face src = <script> alert (cmd) </script> width = 32 height = 32> ** </td> Wir können sehen, dass unser Cross-Site-Code nicht gefiltert wird, sondern von <und> und einzelne Zitate. der Code allein. Dies ist immer noch sehr einfach zu implementieren. Nach der Eingabe des Code> <script> alert (cmd) </script> <wird die gesamte Anweisung <img id = face src = <skript> alert (cmd) </script> <width = 32 height = 32>, wodurch der in Abbildung 4 gezeigte Querschnittseffekt erzielt wird.
(Abbildung 4)