> XSS Test最终，unicode编码成功绕过防护，网费拿下

注意:漏洞挖掘一定要点到为止，不可以非法获取网站的任何数据以及改动，作为安全人员更要在法律允许的范围内进行.未经授权的渗透一定不要干.在发现漏洞后，尽快提交漏洞，联系厂商进行修复后记12期小老弟找工作中，本篇正好又聊到了xss，咱就扯几道面试题（总群里的）吧，同学们有更好的思路不妨一起学习交流。

Q1：如何绕过http-only？A1：首先谈谈http-only，它的作用仅仅是为了避免攻击者获得cookie信息，插还是能插的再看如何绕过，可以说说风哥提到的这两点 -- csrf、借助phpinfo()让页面显示cookie。

除此之外，还可以劫持钓鱼绕过，利用姿势为管理员触发xss后，当前页面即刻跳转至登陆界面，若管理员稍不留意填写了账号和密码，不就拿下了，为啥，因为登陆界面是伪造的还有没有啥绕过方式，有啊，比如CVE-2012-005，只要攻击者向目标站点植入超大cookie，使得http头超过apache的最大请求长度，apache便会返回400状态码，以及被http-only保护的cookie。

Q2：谈一谈csp安全策略，以及如何绕过？A2：csp即为HTTP Header中的Content-Security-Policy，它存在的目的主要是通过白名单的方式告诉浏览器允许加载和不允许加载的资源。

具体用法可以使用script-src，让浏览器只能加载指定规则下的js代码，其他的都一律拒绝接着讲讲咋个绕过姿势1 -- jsonp绕过，啥是jsonp，它首先基于json格式，存在的目的在于解决跨域请求资源。

而它的原理则是动态地插入带有跨域url的script标签，然后调用回调函数，将用户所需的json数据作为参数传入，通过一些逻辑把数据显示在页面说到这儿，自然是明白如何通过它绕过csp了，还不是因为它允许不安全的回调方法，从而给攻击者执行xss创造了机会？直接callback=alert`1`就完事儿了。

姿势2 -- 利用iframe的srcdoc属性绕过csp，但有前提，那就是应用得允许加载来自白名单域的iframe，满足了这个前提就可以插了，咋插？用手插