xss绕过之修改content-type
最近在做某个项目的测试的时候发现,很多填写信息的地方都存在相同的问题,将其content-type格式的application/x-www-form-urlencoded改为multipart/form-data即可绕过xss的防护
application/x-www-form-urlencoded:
<form encType=””>中默认的encType,form表单数据被编码为key/value格式发送到服务器(表单默认的提交数据的格式)
multipart/form-data: 需要在表单中进行文件上传时,就需要使用该格式
收获小tip:
如果测试发现这类通过表单填写某些个人信息的时候,可以尝试修改content-type格式从而进行xss的绕过(本质上修改之后是当成文件进行解析了,从而触发了xss)