XSS笔记

最新推荐文章于 2024-03-25 17:52:57 发布
最新推荐文章于 2024-03-25 17:52:57 发布
阅读量276 收藏
点赞数
分类专栏: 逆向安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyyAray/article/details/78295678
版权

http://103.238.227.13:10089/

bugku XSS题

<script>
    var s="";   document.getElementById('s').innerHTML = s;
</script>

你使用document.getElementById()可以取到页面上一个有id的元素
然后访问这个元素的属性,比如value

当一个元素有value属性的时候,其value才会有值
例1
<input type="text" id="txt1" value="hello"/>
这样一个元素,当你使用document.getElementById("txt1").value时,可以得到其value值,即"hello"这个字符串。

如果一个元素没有value值,那么使用document.getElementById().value时是取不到。这是理所当然的,没有的东西怎么访问?
比如一个div标记,就不一定有value值。

innerHTML
这个是指元素中的内容
例2

一个元素有起始标记和结束标记如

<label id="lb1">this is a label</label>

当你使用document.getElementById("lb1").innerHTML可以取到<label>与</label>之间的内容,即“this is a label”。

document.getElementById().innerHTML

注入原理:http://blog.csdn.net/haifu_xu/article/details/17754673

利用imgonerror 来执行代码

Cray Ming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
document.getelementbyid().value与document.getElementById().innerHTML的区别
zhaoguxiaoshi的博客
08-18 2万+
document.getelementbyid().value与document.getElementById().innerHTML什么区别   使用document.getElementById()可以取到页面上一个有id的元素 然后访问这个元素的属性,比如value 当一个元素有value属性的时候,其value才会有值 例1 这样一个元素,当你使用document.ge
document.getElementById()方法使用
热门推荐
酣睡的熊㊣的技术博客
02-07 36万+
document.getElementById使用 语法:oElement = document .getElementById ( sID ) 参数:sID――必选项。字符串 (String) 。 返回值:oElemen――对象 (Element) 。 说明:根据指定的 id 属性值得到对象。返回 id 属性值等于 sID 的第一个对象的引用。假如对应的为一组对象,则返回该组对象中的第一
document.getElementById详解
~飞 鸟 (*^__^*) 天 堂~
10-31 3150
document.getElementById(" ") 得到的是一个对象,用 alert 显示得到的是 “ object ”,而不是具体的值,它有 value 和 length 等属性,加上 .value 得到的才 是具体的值! 参考资料: 1. document . getElementById 的用法和 DHTML.CHM 的下载地址 今天在网络上
document.getElementById(‘username‘).value 是什么
最新发布
一季南凉的博客
03-25 694
js
document.getElementById()后面有没有.value有什么区别
tjmengqw的博客
08-13 2273
document.getElementById() 是获得元素; document.getElementById().value 是获得元素的值,假如这个元素事个type为text的input,它就会获得这个input点value值;
前端笔记
08-22
学习防止XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、SQL注入等常见的前端安全问题,以及如何应用安全的最佳实践。 总之,【前端笔记】包含了前端开发中的核心知识点,是学习和面试的重要参考资料,通过系统学习和...
xss game挑战笔记.pdf
02-11
xss game挑战笔记
AHPU云笔记
09-30
7. **安全性考虑**:作为一个Web应用,AHPU云笔记需要处理用户登录和权限验证,可能使用了HTTPS协议保障数据传输安全,同时可能运用了CSRF(跨站请求伪造)和XSS(跨站脚本攻击)防护措施。 8. **部署与运行**:war...
安装xss-labs ppt手册
10-22
5. **记录和总结**:在解决每个挑战后,记得做笔记,记录你的发现和解决方案。这将有助于你在以后遇到类似问题时能迅速回忆起解决策略。 6. **安全实践**:了解如何预防XSS攻击,如使用输入验证、编码输出、设置...
xss闯关挑战
11-09
闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
JavaScript中document.getElementById().value与innerHTML的区别
Elsa~的博客
02-26 6718
首先我们来认识一下HTML DOM Document对象 每个载入浏览器的HTML文档都会成为Document对象。Document对象使我们可以从脚本中对HTML页面的所有元素进行访问。 而Document对象是Window对象的一部分,可以通过window.document属性对其进行访问。 而getElementById()是Document对象的方法,该方法返回对拥有指定id的第一个...
获得输入框的文本document.getElementById('id').value;
shy_snow的专栏
05-07 1万+
js中document.getElementById("id").value+1问题
huazicomeon的博客
07-16 6946
document.getElementById("id").value的数据类型是不确定的 如果你是要相加用这样的写法比较好 document.getElementById("id").value=document.getElementById("id").value*1+1; 字符串拼接的话用这个 document.getElementById("id").value=document.
ajax调用时,document.getElementById获取不到值
chaplinlong的博客
07-29 2934
今天写ajax的一个小例子的时候,document.getElementById居然获取不到值,后来找到了,对自己很是无语。 先看jsp页面<body> <script type="text/javascript"> var req = null; function test() { var name = document.all.na
js中document.getElementById()用法
lyhmyway的专栏
03-03 6万+
dom标准里面的  获取当前文档中指定id的元素 if (document.getElementById("regjm").value != document.getElementById("regjm1").value ) {    alert("提示:请输入有效的认证码");    document.getElementById("regjm1").focus();    retur
document.getElementById("").value;值一直为空的原因!
滴水石穿
01-15 9679
今天写个表单提交,检查值是否为空 不管怎么提交一直提示内容为空!懵逼了! 最后百度总算找到了原因!原来是页面打开的时候,chanpin的值就是空的,提交的时候肯定也还是空的,所以解决办法是,在点击提交的时候再去获取chanpin的值 然后就搞定了!!! ...
html中ID取val值,document.getElementById获取不到值的原因及解决办法
weixin_36058835的博客
06-18 3190
document.getElementById获取不到值的原因及解决办法在html中如下一段源代码:document.getElementById("getText").value="你好";helloDW(Dreamweaver)测试无任何错误提示,但标签中的内容没有改变在EditPlus中测试直接出现如下图所示的错误点击是只有一个hello 出现的结果在DW中一样,只是这里报错说明问题出现在g...
x=document.getElementById("id")和x=document.getElementById("id").value的区别
qq_37565945的博客
05-16 3252
x=document.getElementById("id") 只是获取某元素ID为id的对象。 x=document.getElementById("id").value 只是获取某元素ID为id的对象的value值,一般只是获取input对象的value值。 而x=document.getElementById("id")则可以是所有的html元素 如: &lt;input type=...
document.getElementById(“id名字”).value与$(属性名称).val()之间的区别
wqr111的博客
12-16 2736
首先使用document.getElementById(“id名字”).value的值时如果为空,JS会报错,导致页面死掉不动了。控制台报错。 如果使用$(属性名称).val(),则没有影响,会友好的执行其他下年的操作 区别 document.getElementById("id") 得到 的是[object HTMLDivElement]一个DOM对象; $("#id") 得到 的是[object Object]一个Jquery 对象。 转换 $(docu...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值