[安全测试]通过前端嵌入HTML标签触发页面其他事件

最新推荐文章于 2023-08-24 14:16:19 发布
置顶 最新推荐文章于 2023-08-24 14:16:19 发布
阅读量325 收藏
点赞数
文章标签: javascript html 安全漏洞 测试工程师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ic_zswdbk/article/details/113242826
版权

**[安全测试]**通过前端嵌入HTML标签触发页面其他事件

1.因为富文本的要求,所以很多前端展示,是允许携带标签的,而我们能通过输入的标签,来达到触发页面上,其他标签的事件,类如点击事件。

假设,如果页面上有一个点赞帖子功能,而我们通过我们自己发表的文章里,携带了HTML元素,而元素,有一个事件,移动到该元素上,就触发,点击原本页面上点赞帖子功能,也就是说,我们使浏览该页面的用户,做了一个本来没有做的事情。

也属于XSS注入的一种,但是不同的是,以前的XSS注入,用的都是script语句,现在浏览器已经不会去执行了。

但是单纯元素的事件,现在是会正常执行的。

例子:

类如我们现在看到页面上有一个点赞的功能,通过查看html元素,发现该点赞功能的元素id=ic-like,但是查看这个元素的监听事件以后,发现并没有点击事件,所以我们再次往上查看,发现点击事件在父级元素,div class="_2Bo4Th"
在这里插入图片描述
在这里插入图片描述

于是乎,我们接下来的行为,就是要通过我们输入的内容,来达到触发class为"_2B04Th"的元素点击事件。

注:现在我所操作的,全都是直接修改页面元素,简书本身是做了限制的,会过滤掉用户自己输入的事件。

在这里插入图片描述
我们直接通过修改元素,实现嵌入了
button标签元素,并赋予一个点击事件,获取对应我们想触发的元素,最后触发他的点击事件

在这里插入图片描述
点击我们自己输入的内容后,发现,确实触发了点赞。

但是,点击按钮触发,并达不到我们想要的不自觉让用户操作的效果,所以我们将触发事件的条件,更改为,只要移动到元素上,就触发
onmouseover:用户移动到元素上触发

并且可以更改button标签为其他标签,这样就不存在按钮的形态。

当然,还可以用其他触发条件。
在这里插入图片描述
会不定时分享一些不常见的问题。
作者:IC

小王八吴某人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dorado-htmlEditor控件 富文本保存及查看
puspos的博客
05-25 320
e=self._editor; e.hasContents();//编辑器中是否有内容 console.log(e.getContent());//获取编辑器中内容 html格式 console.log(e.getContentTxt());//获取编辑器中的纯文本信息 console.log(e.setContent("<h1>发货的费</h1>"));//给编辑器添加内容 html方式/文字方式 ...
html文本修改后无法保存,完美解决ueditor html、代码片段保存后不能正常回显问题...
weixin_35075740的博客
06-03 897
最近在素材溜溜文章板块集成百度ueditor富文本编辑器时,入库保存后是HTML、代码内容,但是在回显的时候却不能正常显示,很是郁闷。在百度了一圈后都没有很详细的解决方案。费劲一些周章后终于解决了,下面记录一下,希望帮助他遇见同类问题的朋友。原因:入库是HTML、代码片段内容,回显时内容中的特殊字符(如‘下面看看怎么解决:1、入库时前端进行base64转码后传入后端:从IE10+浏览器开始,所有浏...
UEditor 富文本编辑器,在测试环境上,将后台返回的数据回显到富文本编辑器可能会报错
Libby的博客
12-29 1567
UEditor 的使用步骤: UEditor的官网,可去官网下载自己需要的版本 &lt;!DOCTYPE HTML&gt; &lt;html lang="en-US"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;ueditor demo&lt;/title&gt; &lt;/
富文本编辑器的html内容保存到数据库中后,带标签的字符串如何回显
chon机械师的博客
05-12 8421
<div id = "content1" hidden="hidden"> {{ content }} </div> <div id = "content2"> </div> <script type="text/javascript"> $(function() { $("#content2").html($("#content1")...
富文本编辑器编辑的内容调用后端的接口保存再返回的数据带标签
qq_45791799的博客
09-03 1338
场景:在前端富文本编辑器编辑内容后,调用保存接口,保存成功后返回给前端的是带标签的文本 处理前: 处理后: 如何处理:这里的处理用到了正则 ToText(htmls) {//我这边是用到的elementui的table表格,对数组的content(保存的富文本编辑器的编辑内容)字段进行处理,所以把这个数组作为参数 for (var i = 0; i < htmls.length; i++) { console.log(htmls[i].content, 'befo
snvr client怎么使用_102-使用VSFTPD_Nginx完成商品新增
weixin_39621185的博客
11-20 77
1. 编写代码_商品类目查询(1) 描述怎么设计一个树型的表结构设计父节点(从0开始),父节点为0则其子节点为1,一次设计。(2) 描述easyui加载一个异步树的过程和相关参数根据某个节点查询对应的子节点集合。父节点、节点内容以及节点状态。2. FTP服务器的搭建(1) 什么是ftp?FTP 是 File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用...
关于最近使用layui框架,其中富文本遇到的问题进行记录。
qq_43198423的博客
07-28 601
{ "code": 0 //0表示成功,其它失败 ,"msg": "" //提示信息 //一般上传失败后返回 ,"data": { "src": "图片路径" ,"title": "图片名称" //可选 } }
如何进行WEB安全性测试.
02-03
常见的测试方法包括构造恶意的HTML页面,其中包含指向目标网站的表单或图像元素,触发未经用户许可的操作。 **3.3 防御措施** - **CSRF令牌**:在表单中添加一个随机生成且唯一的令牌,并在服务器端验证该令牌,以...
Web前端大作业—电影网页介绍8页(html+css+javascript) 带登录注册表单
08-10
- 例如,可以通过HTML5的`<video>`和`<audio>`标签轻松地嵌入音视频文件。 5. **表单处理**: - 设计了登录注册表单,并利用JavaScript进行基本的表单验证。 - 这样可以确保用户输入的数据格式正确,避免因错误...
web前端期末大作业:婚纱网页主题网站设计——唯一旅拍婚纱公司网站HTML+CSS+JavaScript
08-10
- **音频视频Flash的应用**: HTML5引入了`<audio>`和`<video>`标签,使得在网页中嵌入音视频变得非常容易。Flash虽然已被淘汰,但在早期网页设计中很常见,用于播放动画和视频。 - **多媒体元素的兼容性问题**: 不同...
【web前端期末大作业】基于html+css+javascript+jquery技术设计的音乐网站(44页d
08-10
- **跨浏览器兼容性**: 通过测试和调试确保网站能在不同版本的浏览器中正确显示。 - **移动优先设计**: 优先考虑移动设备的适配,再扩展至桌面端。 #### 9. 网页编辑软件 - **编辑器选择**: 如Visual Studio Code、...
跨域测试文件网页的直接测试.zip
07-12
5. **postMessage与iframe**:在处理跨域问题时,有时会利用iframe嵌入另一个源的网页,然后通过`window.postMessage`进行通信。这种方式适用于父页面与iframe内容间的通信,尤其当iframe加载的是同一组织内的其他...
【Vue】vue2预览显示quill富文本内容,vue-quill-editor回显页面,v-html回显富文本内容
最新发布
qq_51055690的博客
08-24 6751
vue富文本编辑器vue-quill-editor的内容的渲染
完美解决ueditor html、代码片段保存后不能正常回显问题
smallfish3306的博客
06-10 2345
最近在素材溜溜文章板块集成百度ueditor富文本编辑器时,入库保存后是HTML、代码内容,但是在回显的时候却不能正常显示,很是郁闷。在百度了一圈后都没有很详细的解决方案。费劲一些周章后终于解决了,下面记录一下,希望帮助他遇见同类问题的朋友。 原因: 入库是HTML、代码片段内容,回显时内容中的特殊字符(如‘<’)被转义了 下面看看怎么解决: 1、入库时前端进行base64转码后传入后端:从IE10+浏览器开始,所有浏览器就原生提供了Base64编...
vue-KindEditor多次使用html赋值后,输入框无法选中,内容不回显
u010529525的博客
07-06 923
在elementUI的dialog中使用KindEditor 在文本框准备好后初始化 <textareav-if="editorShow"ref="news"v-model="ruleform.detail"class="infoContent"></textarea> this.$nextTick(()=>{ this.editor=KindEditor.create(this.$refs.news,that.editorOptio...
富文本编辑器踩坑
陈迹·清欢的博客
03-07 1472
前端架构 webpack配置 Vue是一个非常优秀的前端MVVM框架,轻量、快速、文档友好又详细,代码组织也非常优雅,是我比较偏爱的MVVM架构。Vue官方提供了非常方便快速上手的脚手架Vue-cli,但是由于跟我们这边使用的Java Web架构有一些不太适合的地方,所以我并没有使用它,不过我也是对Vue-cli做了一番详细的学习后来搭建自己的webpack配置。 下面是我的生产环境的部分webp...
切换标签页,富文本编辑器绑定的值无缘无故消失了,看我如何解决它
全是bug写个蛇的博客
12-09 1044
前言 今天测试反馈了一个bug,后台商品管理的富文本编辑器,在进行标签页切换的时候都会造成富文本内容清空,其他属性值正常显示。听到这问题时,我一个后端仔怎么解决这么"高难度"的问题。先是各种浏览器找解决办法,但也没有想要的,没办法了只能硬着头皮上了。 <!-- 商品详情 --> <el-form-item label="商品详情:"> <tinymce v-model="dataForm.detail.detail" @loadingShow="loadin
thymeleaf 解决页面回显富文本编辑器内容展示问题
wangxuejava的博客
01-09 1051
最近遇到此需求,thymeleaf 回显富文本编辑器内容,然后查到此需求可以解决。 <td th:utext="${XXX.XXX}"> </td> 测试用的标签 核心代码就是: th:utext="${XXX.XXX}" 参考:https://blog.csdn.net/justinytsoft/article/details/52840489 ...
百度在线编辑器 显示html,UEditor百度编辑器中JS/html代码(script标签)被过滤的解决办法...
weixin_39783512的博客
06-01 916
作为一名程序员,在文章中经常会插入各种代码,大部分代码都不会发生问题,但div和script标签是经常会被使用到的。而在之前的文章编写过程中,插入JS代码后,第一次文章会显示正常,而之后在后台编辑器中便只会显示执行过的JS代码,相当于JS代码被过滤掉了。今天研究了一下这个问题,发现解决办法很简单。我们在插入代码后,源码模式下,看起来是正常的,但是为什么保存完之后,数据库中正常,但是编辑器中不正常呢...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值