目录
1.1 当我们输入<img src=1 οnerrοr=alert(1)>:
2.1当我们输入<img src=1 οnerrοr=alert(1)>:
1.一个循环问题,移除标签的属性
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
</body>
<script>
//用户的输入会构成一个新div元素的子结点,但在插入body之前会被移除所有的属性。
const data = decodeURIComponent(location.hash.substr(1));//截取#后面所有我们输入
const root = document.createElement('div');//创建一个div
root.innerHTML = data;//截取的输入赋给div
//这里模拟了XSS过滤的过程,方法是移除所有属性,sanitizer
for (let el of root.querySelectorAll('*')) {//querySelectorAll选取div下所有的子元素
for (let attr of el.attributes) {//获取子元素的属性,并将属性全部删除
el.removeAttribute(attr.name);
}
}
document.body.appendChild(root);
</script>
</html>
1.1 当我们输入<img src=1 οnerrοr=alert(1)>:
src属性确实如愿以偿删除了,onerror却保留了下来 why?断点调试找原因:
最开始:
点击step:截取过后获取了img标签
再次step:attr获取src属性并移除
再次step:没有获取到onerror
直接跳出循环,所以onerror属性保留了下来
通过断点调试可以得出: 在循环中删除了第一个src属性,在内存中第二个onerror属性就往前移一位,而循环已经循环了第一位所以就直接跳出了循环
我们想要绕过就可以直接把我们想要保留的属性写在第二、第四、第六....的位置,不会被删除
测试:
实现了弹窗:
2.两个循环问题
通过上面代码的缺陷修改成了如下代码:
第一个循环进行存放,第二个循环进行删除
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
</body>
<script>
const data = decodeURIComponent(location.hash.substr(1));;
const root = document.createElement('div');
root.innerHTML = data;
// 这里模拟了XSS过滤的过程,方法是移除所有属性,sanitizer
for (let el of root.querySelectorAll('*')) {
let attrs = [];
for (let attr of el.attributes) {
attrs.push(attr.name);
}
for (let name of attrs) {
el.removeAttribute(name);
}
}
document.body.appendChild(root);
</script>
</html>
2.1当我们输入<img src=1 οnerrοr=alert(1)>:
<img>标签的两个属性全删除了,所以原本的绕过方法完全失效了
2.2我们从两个方面来入手绕过:
(1)进入循环删除垃圾数据,保留有用代码
(2)不进入循环,直接进行绕过
2.3进入循环删除垃圾数据,保留有用代码
(1)在<body>中加上如下代码
运行过后可以看出input标签的属性并没有删除
(2)不进入循环
使用<svg><svg οnlοad=alert(1)>来进行绕过
原因:这种嵌套的svg成功的原因是因为当页面为root.innerHtml赋值的时候浏览器进入DOM树构建过程;在这个过程中会触发非最外层svg标签的load
事件