dom based xss
来源:互联网 发布:中世纪2 优化9 兵种 编辑:程序博客网 时间:2024/04/29 18:58
<script>function test(){var str=document.getElementById("text").value;document.getElementById("t").innerHTML="<a href='"+str+"'>testLink</a>"}<div id="t"></div><input type="text" id="text" value""/><input type="button" id="s" value="write" onclick="test()"/></script>
document.getElementById("t").innerHTML="<a href='"+str+"'>testLink</a>"
这一句是关键
上面的内容实现的是 当我们点击按钮时 触发test将text文本框中的输入内容作为 testLink的超链接。
"<a href='"+str+"'>testLink</a>"这一句中的str就是我们输入的内容
如果我们构造如下 ' onclick=alert(/xss/) //
那么此时内容就为
<a href=' ' onclick=alert(/xss/)// '>testLink</a>此时click就会触发xss
或者我们构造另外一个
'> <img src=# onerror=alert(/xss2/) /><'
新的组合形式如下
<a href=''> <img src=# onerror=alert(/xss2/) /><''>testLink</a>显而易见,<a>标签被闭合 插入了一个新的html标签img 直接触发onerror函数
0 0
- DOM Based XSS
- DOM-Based XSS
- dom based xss
- DOM based XSS
- DOM-based XSS in jQuery
- DOM XSS Scanner - Find DOM based XSS Security Vulnerabilities
- Easy DOM-based XSS detection via Regexes
- DOM-based XSS 与 存储性XSS、反射型XSS有什么区别?
- dom xss
- dom xss
- DOM Based Cross Site Scripting or XSS of the Third Kind
- dom xss scanner
- DOM XSS案例总结
- DOM型XSS学习笔记
- DOM Based Cross Site Scripting
- 基于QtWebKit的DOM XSS检测技术
- DOM XSS的原理与防护
- Xss 学习(三)之dom
- 【贪心】【Uva11292】 勇者斗恶龙
- DropDownCheckBoxes 控件
- Edit Distance
- vi / vim 删除以及其它命令
- Spring Xml配置文件自动加载properties文件
- dom based xss
- [LeetCode] Sudoku Solver
- Android多语言支持以及各国语言Values文件夹命名规则
- Windows Server 2008通过计划任务定时执行bat文件
- [android基础知识] 之四:TelephonyManager service的使用实例
- 【iOS开发-32】iOS程序真机调试需要购买调试证书怎么办?
- C++ 虚函数内存布局学习笔记
- Tomcat8.exe一闪而过问题解决
- XML语言简介