发布后忽略基本标签

2024-05-07

在 Chrome 上我收到错误Refused to execute a JavaScript script. Source code of script found within request.在发布包含域名的数据后（另请注意任一页面上都缺少 javascript）。

badpage1.html http://pastehtml.com/view/bp5uczv6h.html:

<form action="/badpage2.html" method="post">
<input type="hidden" name="name" value="href=%22http://www.w3.org/%22"/>
<input type="submit" name="submit"/>
</form>

badpage2.html http://pastehtml.com/view/bp5uauhop.html:

<!DOCTYPE html>
<html>
    <head>
        <base href="http://www.w3.org/"/>
    </head>
    <body>
        <img src="Icons/w3c_home" alt="">
    </body>
</html>

如果您直接前往badpage2.html图像将会显示，但是如果您通过以下方式访问它badpage1.html，图像将不会显示（基本标签不起作用）。

这是 Chrome XSS 检测中的错误吗？如果不是，我该如何绕过这个？对发布的数据进行编码以绕过此过滤器似乎很愚蠢。

EDIT:

就我而言，发送的 post 值是更新页面的部分内容。如果它包含恰好包含在中使用的域名，就会出现问题<base>（如本示例所示）它将触发 XSS 检测，从而禁用<base> tag.

我发现我可以发送自定义 HTTP 标头X-XSS-Protection http://en.wikipedia.org/wiki/List_of_HTTP_header_fields#Common_non-standard_response_headers由于保护而被弄乱的页面。

我的 PHP 解决方案使用以下代码：

header( "X-XSS-Protection: 0" );

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

html

POST

redirect

Xss

basetag

发布后忽略基本标签的相关文章

浏览器在标记之前呈现的幻像
标记
浏览器似乎在我的之前渲染标记整个页面应该在同一个表中呈现但是代码中没有的标记创建了令人恼火的空白代码如下所示包括使用查看源代码时 div class container table cellpadding 0 cellsp

css 表格单元格，内容有不必要的上边距

我在代码中使用 div 块的表格单元格排列我的代码有问题我的 html 的预览是here http jsbin com avozik 10 edit preview 当我的第一个面板中有任何内容文本或图像时 inner第二个和第三个

HTML5 数据库存储（SQL lite） - 几个问题

你好我在网上找不到足够的关于 HTML5 数据库存储使用示例 CRUD 的初学者资源我正在像这样打开创建我的数据库 var db document ready function try if window openDatabase

数据协议 URL 大小限制

data URL 方案是否有大小限制价值观我对流行网络浏览器的限制感兴趣换句话说多久可以data image jpg base64 base64 encoded data be in img src data image jpg b

Javascript - window.getCompulatedStyle 返回“auto”作为元素顶部和左侧属性

在我的网页上我有一些元素 div 子 div 按钮等其位置是相对于它们所在的 div 以及彼此之间生成的这会导致使用时的结果window getCompatedStyle the top and left属性不是数字值而是简单的 a

过滤文件上传仅用于文本文件

我使用的是 Firefox 版本 14 0 1 我需要过滤上传文件窗口以仅显示 txt files 我的浏览器不仅仅支持文本文件 text plain 我可以通过指定此格式来限制图像文件 image 但我只需要过滤文本文件在文件选择器窗口中

如何在不知道id的情况下从内页获取父iframe元素？

让我们想象一下我有这样的东西 div div test html 是空页面自定义hash属性始终具有不同的值出于安全原因两个页面位于同一域 iframe 元素的数量和顺序是随机的我的问

如何在C#中使用默认浏览器打开带有锚点(#)的html文件

我正在尝试在 C 中打开上下文帮助文件当我没有指定锚点时它工作得很好 Process Start C Help Help htm 但是当我指定锚点时它不会打开 Process Start C Help Help htm Toc3420

显示仅允许数字和小数点的输入？

有什么方法可以定义一个

当CSS文件存在时，无法在服务器上找到它们[关闭]

Closed 这个问题需要细节或清晰度 help closed questions 目前不接受答案当运行本地服务器时这一切都运行良好我有 header html 其中包含以下代码在 public html 目录与 header h

随机推荐

react-google-maps/api 避免在某些状态更改后重新渲染地图

我遇到了问题我的 GoogleMaps 实例会刷新并以某些方式自我居中onClick设置状态的函数并且将发生整个组件渲染周期经过一番谷歌搜索后有人建议将组件实例化分开并重新使用现在的问题是我有一些逻辑来在内部显示标记

我仍然没有获得代表

使用委托不是可以帮助处理一些异步情况吗我尝试了以下操作但我的用户界面仍然挂起你到底什么时候使用代表 Public Class Form1 Private Delegate Sub testDelegate Private Sub Bu

使用百分比作为 img 元素的宽度和高度属性会产生什么后果？

我正在寻找某种方法来定位img元素在HTML从 w3schools com 注意到这句话的页面它讲的是设置width in an img元素在 HTML 4 01 中宽度可以以像素或包含元素的百分比来定义在 HTML5 中该值必

R 中从右到左的运算符结合性可能吗？

我是 R 新手我刚刚发现我患有支架恐惧症 https mathematica stackexchange com a 17315 2266 请参阅链接中的评论我喜欢这种方式magrittr符号 gt 有效因为它在某些情况下避免了嵌套括

淘汰赛“闪烁”问题

我正在使用 KO 构建 SPA 单页应用程序该应用程序看起来像一本书用户可以翻页问题是每次加载页面时都会有一小段时间页面闪烁用户会看到页面的无样式版本我猜这是因为很多样式都依赖于 ko 绑定所以在 ko 完成它神奇之前

这是 `min` 和 `nanmin` 之间的区别； Matlab 中的“max”和“nanmax”？

Matlab描述nanmin and nanmax像这样 NANMIN最小值忽略NaNs NANMAX最大值忽略NaNs 但实际上 min and max ignore NaNs too 那我应该使用哪个根据我的测试 nanmin a

如何使用 Rally 的 JAVA API 将标签添加到 Rally 中的测试用例？

我一直在努力向 Rally 中的测试用例添加标签该标签已存在于 Tags 集合中但我无法将其添加到测试用例中有人可以提供一个关于如何执行此操作的示例吗多谢下面是如何执行此操作的示例该示例显示了向现有测试用例添加标签以及创建新测

检查互联网连接是否可用？

我正在开发在线应用程序问题当互联网关闭或不可用时它会给我错误强制关闭我尝试使用broadCast Receiver进行处理但没有满足确切的解决方案正在寻找更好的解决方案 public class MyBroadcastRece

不活动后自动“停止”Sagemaker 笔记本实例？

我有一个 Sagemaker Jupyter 笔记本实例我一直错误地将它留在网上过夜不必要地花费了金钱当没有活动例如 1 小时时是否有任何方法可以自动停止 Sagemaker 笔记本实例或者我必须制作一个自定义脚本您可以使用

根据 HTTP PATCH RFC，文档的部分表示是否是有效的“更改集”？

这是什么RFC 5789 https www rfc editor org rfc rfc5789 says PATCH 方法请求将请求实体中描述的一组更改应用于由 Request URI 标识的资源这组更改以称为补丁文档的格式表示

如何从命令行提供非 slurpy 数组或命名数组？

首先 raku perl6 非常棒克罗也是如此只花了一个周末就坠入爱河然而现在我偶然发现了一些非常简单的事情如果我在多重调度 MAIN 中使用 slurpy 参数则会被识别并完美运行 multi MAIN config add h

如何随时暂停 pthread？

最近我开始将 ucos ii 移植到 Ubuntu PC 上我们知道在pthread的回调函数中的 while 循环中简单地添加一个标志来执行暂停和恢复是不可能模拟ucos ii中的进程的如下解决方案因为ucos ii中的进程

Python 3.7 Windows 不支持 dbm.gnu 吗？

做的时候 import dbm gnu 在适用于 Windows 的标准 Python 3 7 6 64 上我得到文件 C Python37 lib dbm gnu py 第 3 行位于从 gdbm 导入 ModuleNotFound

XSL。评估表达

对不起我的英语不好 XSL 1 0 如何从元素或属性值计算表达式例如 XML

在 Protractor 测试中同步处理

我正在尝试在量角器中编写一个我认为相当简单的测试但似乎当您尝试同步执行任何操作时量角器就会让您的生活变得困难通常处理定位器函数返回 Promise 不是问题因为任何 Expect 语句都会在测试断言之前自动解析传递给它的任何 P

在 OS X 10.7.4 上安装 RSRuby 时找不到库

我正在尝试在我的 Mac 上安装 RSRuby 调用后 sudo gem install rsruby 我收到此错误 ERROR Cannot find the R library aborting extconf rb failed Co

插入标准模式文档中的动态 iframe 默认为怪异模式

我有一份当前正在返回的父文档CSS1Compat from document compatMode 当我使用 jQuery 添加一个空白 iframe 时如下所示 body append 并检查新 iframe 的 compatMode

从java程序调用SVN命令

我想从 java 程序调用 SVN 命令 update commit 有什么帮助吗 SVN 乌龟SVN 环境 java程序将在jBoss服务器内运行从应用程序服务器内使用 GUI SVN 客户端是一个非常非常糟糕的主意而Tortoise

服务器端生成的 Excel 中出现 System.Runtime.InteropServices.COMException 错误

我们有一个 Web 应用程序可以生成 Excel 电子表格并在服务器端运行宏然后它通过电子邮件将它们发送给不同的人它是传统报告风格的一部分我们正在对其进行转换但仍然支持我们作为 IIS 中的网站提供的新应用程序我知道进行 Off

发布后忽略基本标签

在 Chrome 上我收到错误Refused to execute a JavaScript script Source code of script found within request 在发布包含域名的数据后另请注意任一页面上都缺

热门标签

保存到新链表

mvIMPACT

数组中找出两个单数

连续子数组的最大

二叉搜索树与双向链表

二进制中

文件描述符

与照明光学基础知识

镜头技术参数基础

计算机系统漫游

操作系统原理与实践

核心功能

meiqua

Remapping

论文纪要

模板匹配

文件常用命令参数解释

恒流源驱动电路

驱动电路的分析

排序算法之堆排序

Powered by Hwhale