[分享] 昨天的面试问题让我感到很疑惑， 4/3/2011 我换工作的决定越来越强烈！！

46 主题	6 好友	6456 积分

Rank: 13

发消息

51^#

发表于 2011-1-18 11:29 PM |只看该作者

回复 49# Super-Tomato

其实如果我打 html tag 进去我的post

<html> wsiwyg editor 会翻译成 <html>

但是如果你要修改的话，

wsiwyg 又把 <html> 变成 <html> 了。

46 主题	6 好友	6456 积分

Rank: 13

发消息

52^#

发表于 2011-1-18 11:34 PM |只看该作者

回复 50# weeming21

呵呵呵，因为题目没需求做login，所以我就没做

我只是host 来玩玩。
如你所说的，我用 htmlentities 翻译了 html tag

我是今天才知道可以这样放 script 的

Super-Tomato

7 主题	1 好友	5108 积分

一流名嘴

Rank: 12

发消息

53^#

发表于 2011-1-19 01:03 AM |只看该作者

最好是只允许某些Tag，可执行xss的Script太多了

这样也可以xss...
其实如果你的是要login才可以发帖 ...
weeming21 发表于 2011-1-18 10:53 PM

以上的方式是有針對某瀏覽器還是通用? 我剛測試没辦法执行

Super-Tomato

7 主题	1 好友	5108 积分

一流名嘴

Rank: 12

发消息

54^#

发表于 2011-1-19 02:01 AM |只看该作者

回复 Super-Tomato

其实如果我打 html tag 进去我的post

<html> wsiwyg editor 会翻译成 <html>

但是如果你要修改的话，

wsiwyg 又把 <html> 变成 <html> 了。
宅男-兜着走发表于 2011-1-18 11:29 PM

不明白你所指的 wysiwyg editor 會如何翻译，但我剛測試了 ckeditor 好像没甚么問題啊
本機測試

weeming21

6 主题	0 好友	397 积分

超级会员

Rank: 5 Rank: 5 Rank: 5 Rank: 5 Rank: 5

发消息

55^#

发表于 2011-1-19 07:02 AM |只看该作者

回复 53# Super-Tomato

没记错的话是ie6 ie7
xss很头痛下

weeming21

6 主题	0 好友	397 积分

超级会员

Rank: 5 Rank: 5 Rank: 5 Rank: 5 Rank: 5

发消息

56^#

发表于 2011-1-19 07:05 AM |只看该作者

回复 52# 宅男-兜着走

这是正常的，一般情况下只有在real system被人搞过才会有所经验，有很多资深programmer也是不知道什么是xss,sql injection等安全威胁的

46 主题	6 好友	6456 积分

Rank: 13

发消息

57^#

发表于 2011-1-21 05:39 PM |只看该作者

回复 54# Super-Tomato

我不知道怎么说，你试试看写 <h1> some text </h1> post 出去, post 回来后放回去 CKEditor 看看。

46 主题	6 好友	6456 积分

Rank: 13

发消息

58^#

发表于 2011-1-21 05:41 PM |只看该作者

回复 56# weeming21

资深的都不会

不是吧？？

XSS 是那天你表演我才看到。
上次有人表演给我看 browser 打javascript，那个应该是 Script Inject 吧。

我知道 SQL Inject，但是不会防。
因为我还没试过 SQL Inject 成功过。

~Zero

31 主题	0 好友	1228 积分

黄金长老

Rank: 8 Rank: 8 Rank: 8 Rank: 8 Rank: 8 Rank: 8 Rank: 8 Rank: 8

发消息

59^#

发表于 2011-1-21 10:15 PM |只看该作者

恭喜你，祝你面试成功～

46 主题	6 好友	6456 积分

Rank: 13

发消息

60^#

发表于 2011-1-21 11:36 PM |只看该作者

回复 59# ~Zero

谢谢，你的支持就是我的动力！！！