可能导致跨站脚本攻击的HTML标签

liss

根据微软提供的建议，我们要慎重允许下列HTML标签，因为这些HTML标签都是有可能导致跨站脚本攻击的。

以下是引用片段： <applet> <body> <embed> <frame> <script> <frameset> <html> <iframe> <img> <style> <layer> <link> <ilayer> <meta> <object>

　　可能这里最让人不能理解的是<img>。但是，看过下列代码后，就应该明白其危险性了。

以下是引用片段： <img src="javascript:alert('hello');"> <img src="java
script:alert('hello');"> <img src="java
script:alert('hello');">

　　通过<img>标签是有可能导致Javascript执行的，这样攻击者就可以做他想伪装的任何事情。

　　关于<style>也是一样：

以下是引用片段： <style TYPE="text/javascript">...    alert('hello'); </style>