hao/websafe-kb

文件

hao 96bde2118d 更新: 331 个文件 - 2026-04-01 05:00:10

2026-04-01 05:00:10 -07:00

..

kb: expand authorized lab coverage and intel automation

2026-03-16 22:04:51 -07:00

lab: automated intel and verification sync codex/intel-20260317-000751

2026-03-17 00:07:51 -07:00

lab: automated intel and verification sync codex/intel-20260317-000751

2026-03-17 00:07:51 -07:00

更新: 219 个文件 - 2026-03-16 23:45:01

2026-03-16 23:45:01 -07:00

.DS_Store

更新: 331 个文件 - 2026-04-01 05:00:10

2026-04-01 05:00:10 -07:00

README.md

更新: 21 个文件 - 2026-03-17 00:00:00

2026-03-17 00:00:00 -07:00

README.md

XSS 与浏览器端注入实验

LAB ONLY | AUTHORIZED TARGETS ONLY | 非生产指南

范围元数据

字段	内容
适用目标类型	`lab-local`, `lab-public`, `authorized-third-party`
是否允许公网验证	允许，但需采用最小化回显验证
推荐最小化验证	优先使用无破坏性 payload、上下文判断和只读回显
禁止场景	对未授权目标执行持久化 XSS、窃取真实用户数据、利用第三方浏览器会话

当前内容

工具: xss-fuzzer.py, xss-scanner.go
主题扩展: frameworks/README.md
重点系统: React, Next.js, Vue, Nuxt, Vite
实证链路: xss-fuzzer/xss-scanner -> Playwright 回放 -> run bundle -> case/index 回写

当前状态

defense/, exploitation/, payloads/ 仍保留实验载荷与说明位，但主题主索引已迁到 07-framework-security/frameworks/*
CSP、Trusted Types、Token 存储和前端敏感配置暴露通过系统页和 05-defense/secure-code/* 反向关联
前端类 case 默认要求浏览器层证据；只有 HTTP 命中而无回放时，不记为 verified-*