1. การแทรกภาพ
หน้าเว็บที่มีสีสันที่เราดูในวันนี้เป็นเพราะผลกระทบของภาพ สามารถแทรกรูปภาพในหน้า HTML รูปแบบรูปภาพที่ใช้กันทั่วไปบนหน้าเว็บคือ JPEG และ GIF มีแท็กเดียวเท่านั้นที่จะแทรกรูปภาพนั่นคือแท็ก <Img> รูปแบบทั่วไปคือ: <img src = filename> แอตทริบิวต์ SRC จะต้องกำหนดค่าในแท็ก <IMG> ค่านี้สามารถเป็นพา ธ และชื่อไฟล์ของไฟล์ภาพและอาจเป็น URL นอกจากนี้ยังมีแอตทริบิวต์ที่ใช้กันทั่วไปในแท็ก <Img>
① alt = ฟังก์ชั่นคือการตั้งค่าข้อความที่แสดงเมื่อเมาส์ปัจจุบันเคลื่อนที่ไปยังภาพ
②width = ทำหน้าที่เป็นการตั้งค่าความกว้างของภาพ
③Height = ใช้เพื่อตั้งค่าความสูงของภาพ
ตัวอย่างเช่น: <img src = image/1.gif src = "/uploads/allimg/140625/11541u642-0.gif"/>
(รูปที่ 2)
ป้อนรหัสข้ามไซต์ <script> Alert (CMD) </script> ในกล่องอินพุตของที่อยู่ URL ที่สมบูรณ์ หลังจากส่งพบว่าไม่มีผลข้ามไซต์ ดังที่แสดงในรูปที่ 3 ข้อมูลที่ส่งคืนหลังจากป้อนรหัสข้ามไซต์ จากนี้จะแสดงให้เห็นว่าระบบไม่ได้กรองข้อมูลของเรา นี่เป็นคำถามเชิงประจักษ์และเพื่อนที่ไม่ดีทุกคนควรจำได้
(รูปที่ 3)
ในอนาคตหากอักขระบางตัวปรากฏบนข้อมูลที่ส่งคืนหลังจากเขียนรหัสข้ามไซต์เช่นคำหลัก <script> จะปรากฏขึ้นโดยทั่วไปจะมีช่องโหว่ข้ามไซต์ หากคุณไม่สบายใจคุณสามารถดูซอร์สโค้ดและใช้ฟังก์ชั่นการค้นหาของ Notepad เพื่อค้นหาคำหลักข้ามไซต์ ไม่มีการกรองรหัสข้ามไซต์ด้านบนดังนั้นทำไมไม่มีไซต์ข้ามไซต์? นี่เป็นเพราะรหัสข้ามไซต์ถูกบล็อกโดยคำพูด <และ> ใน HTML ในกรณีนี้สิ่งแรกคือการตรวจสอบรหัสที่ส่งกลับไปยังไคลเอนต์และค้นหารหัสข้ามไซต์ ที่นี่เราเพียงแค่ต้องค้นหาคำหลัก CMD นี่คือรหัสแหล่งที่มาของคีย์ที่พบ: <td width = 198 ความสูง = 32> avatar <img id = face src = <script> การแจ้งเตือน (cmd) </script> width = 32 ความสูง = 32> ** </td> เราสามารถเห็นได้ รหัสเพียงอย่างเดียว สิ่งนี้ยังง่ายต่อการใช้งาน หลังจากป้อนรหัส> <script> การแจ้งเตือน (CMD) </script> <, คำสั่งทั้งหมดกลายเป็น <img id = face src = <script> การแจ้งเตือน (CMD) </script> <width = 32 ความสูง = 32> ดังนั้นจึงบรรลุเอฟเฟกต์ข้ามไซต์ดังแสดงในรูปที่ 4
(รูปที่ 4)