-
lang属性必须写在<html>标签上才有效,写在<body>或子元素中无效;charset和lang缺一不可,且位置、格式、大小写均影响解析与渲染效果。479 收藏 -
WebSocket.send()可发送DOMString、ArrayBuffer、Blob或TypedArray;不可直接发送对象、undefined或null,须先JSON.stringify()序列化,且需确保ws.readyState为OPEN。167 收藏 -
富文本编辑器XSS漏洞检测需贯穿数据生命周期,核心是发现输入过滤、编码处理或上下文渲染中的缺陷。首先注入script标签、事件处理器、javascript:伪协议等Payload,观察是否被正确转义或执行;常见触发点包括onerror、onload等事件属性及SVG、data:URI等非常规标签。绕过机制常利用双重编码、大小写混淆、HTML注释分割、非标准语法或浏览器解析差异。除XSS外,还需防范HTML注入导致的钓鱼与页面破坏、文件上传漏洞引发的任意代码执行、SSRF导致内网探测、信息泄露及CSRF引起313 收藏
