50分!今天晚上就结贴!!!

看到关于跨站点脚本攻击的东西,想做点试验
我往一个text中输入<script>alert('hi');</script>
可以在html源文件中看到
<input name="SelectContent" type="text" value="<script>alert('hi');</script>" id="SelectContent" style="width:150px;" />
但是却没有出现我料想中的对话框,为什么???

解决方案 »

  1.   

    顺便说下validateRequest已经被我设置成false
      

  2.   

    实际<script>text中值是&lt;script&gt;
    会自动转换的
      

  3.   

    textbox 的Value值不支持Html语言的只取Value的值而不进行解释的
    label 是对其value进行解释的
      

  4.   

    你直接Reponse.Write你的东西就看到XSS了。
      

  5.   

    提交一下内容
    "/><script>alert('hi');</script>"如果未过滤,那么页面里就是
    <input name="SelectContent" type="text" value=""/><script>alert('hi');</script>"" id="SelectContent" style="width:150px;" />//达到目的,弹出窗口,测试成功(自己建立htm测试)
      

  6.   

    崇拜的进来看一眼。Ivony真是太牛了。winform,webform都精通。敢问月薪几何?