HTML 安全列表

标签: Web开发 网络安全 HTML 安全 | 发表时间:2010-05-12 00:57 | 作者:陈皓 火锅土豆
出处:http://coolshell.cn

下面这个网站罗列了,几乎所有的关于HTML 5 在各种主流浏览器上的安全问题,这些安全问题很有可能将会是黑客攻击你的网上的敲门砖,他们几乎都和Javascript都有关系,你就要好好注意了。

http://heideri.ch/jso/

下面罗列几个:

1)<table background=”javascript:alert(1)”>

IE6,7,8,9,和Opera 8.x, 9.x, 10.x 都支持这样的语法。

2)<meta charset=”mac-farsi”>¼script¾alert(1)¼/script¾

这个问题会存在于所有的Firefox版本中,可以让用户进行XSS(跨站脚本)攻击

3)<script>&amp;#x61;l&amp;#x65;rt&amp;#40;1)</script>

在<script>和<style>的TAG间,根据标据,其可以使用这样的字符来运行脚本。这在所有版本的Firefox, Opera, 和 Chrome中都会有问题。

4)({set/**/$($){_/**/setter=$,_=1}}).$=alert

上面这个是Firefox的一个语法,也会产生XSS攻击。

5)<div style=”font-family:foo}x=expression(write(1));”>XXX</div>

自从IE5.5后,直到IE9,IE就可以支持上面这样的语法。

6)src中是可以运行脚本的,如:

<embed src=”javascript:alert(1)”>
<img src=”javascript:alert(1)”>
<image src=”javascript:alert(1)”>
<script src=”javascript:alert(1)”>

又一个XSS攻击,几乎所有的浏览器都支持这样的方式,如:Firefox全部版本,Chrome 4.x/5.x,Opera 8.x/9.x/10.0,IE 6.0/7.0和Safari 3.x/4.x

还有很多,大家自己去看吧,这个网站经常更新的。总体感觉下来,IE和Firefox的安全问题都在伯仲之间,Safari貌似是问题最少的。

相关 [html 列表] 推荐:

HTML 安全列表

- 火锅土豆 - 酷壳 - CoolShell.cn
下面这个网站罗列了,几乎所有的关于HTML 5 在各种主流浏览器上的安全问题,这些安全问题很有可能将会是黑客攻击你的网上的敲门砖,他们几乎都和Javascript都有关系,你就要好好注意了. IE6,7,8,9,和Opera 8.x, 9.x, 10.x 都支持这样的语法. 这个问题会存在于所有的Firefox版本中,可以让用户进行XSS(跨站脚本)攻击.

HTML学习笔记

- - CSDN博客推荐文章
超文本标记语言( 英文:HyperText Markup Language,HTML)是为“ 网页创建和其它可在 网页浏览器中看到的信息”设计的一种 标记语言. HTML被用来结构化信息——例如标题、段落和列表等等  点击打开链接. w3schools  点击打开链接 {语法大全,超赞.

html嵌套规则

- - Web前端 - ITeye博客
转载: http://www.studyofnet.com/news/412.html. 一、HTML 标签包括 块级元素(block)、内嵌元素(inline). 一般用来搭建网站架构、布局、承载内容……它包括以下这些标签:. 一般用在网站内容之中的某些细节或部位,用以“强调、区分样式、上标、下标、锚点”等等,下面这些标签都属于内嵌元素:.

Html 转换成PDF

- - 编程语言 - ITeye博客
最近在搞一个关于html转换为pdf的需求,网上找了很多,但是如果批量处理就会出现问题,最后找到了PD4ML,解决了我的问题. String urlstring = "file:///D:/债权转让及受让协议--魏然2014-08-16.html";. 需要在src目录下创建fonts文件夹,并且在文件夹中建立pd4fonts.properties ,配置文件中的内容如下.

HTML+CSS小结 - jessies

- - 博客园_首页
   结构   HTML        .    样式   CSS      .    行为   JavaScript(交互行为).    <meta name="参数" content="name属性值"/>.    <title>网页标题</title>.

HTML head 头标签

- - IT技术博客大学习
HTML head 头部分的标签、元素有很多,涉及到浏览器对网页的渲染,SEO 等等,而各个浏览器内核以及各个国内浏览器厂商都有些自己的标签元素,这就造成了很多差异性. 移动互联网时代,head 头部结构,移动端的 meta 元素,显得更为重要. 了解每个标签的意义,写出满足自己需求的 head 头标签,是本文的目的.

动态绑定HTML

- - 破狼 Blog
在Web前端开发中,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管理系统(CMS:是Content Management System的缩写),这样的需求,更是遍地皆是. 对于对angular的读者肯定首先会想到ngBindHtml,对,angular为我们提供了这个指令来动态绑定HTML,它会将计算出来的表达式结果用innerHTML绑定到DOM.

HTML编码规范

- - SegmentFault 最新的文章
这段时间在整理前端部分代码规范,初步想法是从HTML、CSS、Javascipt、项目文件目录四部分是整理. 之前已经整理完了 CSS编码规范,有兴趣可以了解下. [强制] 使用 4 个空格做为一个缩进层级,不允许使用 2 个空格 或 tab 字符. 对于非 HTML 标签之间的缩进,比如 script 或 style 标签内容缩进,与 script 或 style 标签的缩进同级.

这样去写你的 HTML

- Allen - 幸福收藏夹
昨天在 twitter 上说,怎么忍心把页面写得这么难用. 是的,这个世界还有一群人等着我们创建出来的东西,可以让他们的生活能过得更容易呢. 作为一个前端,我们又怎么会忍心呢. 之前就一直想写这样的一篇文章,分享一下如何去创造一个可访问性更好的页面. 今天的计划里有一条把 2HTML T2ag 和 WCAG标准结合起来.

HTML特殊字符大全

- - 前端观察
HTML的特殊字符我们并不常用,但是有的时候却要在页面中用到这些字符,甚至有时候还需要用这些字符来实现某种特殊的视觉效果. 现在,国外的设计师 Neal Chester整理了一份很全的特殊字符集,我觉得这很赞~~,共享出来供大家查阅吧. 这些字符属于unicode字符集,所以,你的文档需要声明为UTF-8;.