1. Вставка изображения
Красочные веб -страницы, на которые мы смотрим сегодня, все из -за эффектов изображений. Изображения могут быть вставлены в HTML -страницы. Обычно используемые форматы изображений на веб -страницах являются JPEG и GIF. Есть только один тег для вставки изображения, то есть тега <img>, общий формат: <img src = имя файла>. Атрибуту SRC должен быть назначен значение в теге <img>. Это значение может быть путем и именем файла файла изображения, а также может быть URL. Кроме того, в теге <img> есть чаще используемые атрибуты.
① Функция alt = установить текст, отображаемый, когда текущая мышь перемещается на изображение.
②width = используется для установки ширины изображения.
③height = используется для установки высоты изображения.
Например: <img src = image/1.gif src = "/uploads/allimg/140625/11541u642-0.gif"/>
(Рисунок 2)
Введите код поперечного сайта <Script> alert (cmd) </script> в поле ввода полного адреса URL. После подачи было обнаружено, что не было межсайтового эффекта. Как показано на рисунке 3, данные возвращались после входа в код поперечного сайта. Исходя из этого, показано, что система не фильтрует наши данные. Это эмпирический вопрос, и все плохие друзья должны помнить об этом.
(Рисунок 3)
В будущем, если некоторые символы появятся на возвращенных данных после написания кода поперечного сайта, например, отображается ключевое слово <Script>, обычно наблюдается уязвимость поперечного сайта. Если вы не чувствуете себя легко, вы можете просмотреть исходный код и использовать функцию поиска блокнота, чтобы найти ключевые слова поперечного сайта. Выше нет фильтрации по перекрестному коду, так почему же нет перекрестного сайта? Это связано с тем, что код поперечного сайта заблокирован кавычками, <и> в HTML. В этом случае первое, что нужно проверить код, который возвращается клиенту, и найти код поперечного сайта. Здесь нам просто нужно искать ключевое слово cmd. Вот найденный исходный код ключа: <td width = 198 height = 32> avatar <img id = face src = <script> alert (cmd) </script> width = 32 height = 32> ** </td> мы можем видеть, что наш кросс-код не отфильтрован, но блокируется <и> и сингл, так что нам нужно, чтобы избежать этих символов и оставить эти символы и оставить эти символы и оставить эти носи <Script> alert (cmd) </script> существует только в коде. Это все еще очень легко реализовать. После входа в код> <Script> alert (cmd) </script> <, весь оператор становится <id id = face src = <script> alert (cmd) </script> <ширина = 32 высота = 32>, таким образом, достигая эффекта поперечного сайта, как показано на рисунке 4.
(Рисунок 4)