xss往html插入js代码,html()vs innerHTML jquery / javascript&XSS攻击

最新推荐文章于 2024-04-30 14:12:13 发布
最新推荐文章于 2024-04-30 14:12:13 发布
阅读量396 收藏
点赞数
文章标签: xss往html插入js代码

我在自己的代码上测试xss攻击.下面的示例是一个简单的框,用户可以在其中键入他想要的任何内容.按下“测试!”后按钮,JS会将输入字符串显示为两个div.这是我更好地解释我的问题的一个例子:

function testIt(){

var input = document.getElementById('input-test').value;

var testHtml = document.getElementById('test-html');

var testInnerHTML = document.getElementById('test-innerHTML');

$(testHtml).html(input);

testInnerHTML.innerHTML = input;

}

如果您尝试将其复制到.html文件并运行它,它将正常工作,但如果您尝试输入< script> alert(‘xss’)< / script>,则只会抛出一个警告框: `test-html’div内的一个(带有html()函数).

我真的不明白为什么会发生这种情况,而且,用firebug检查代码会给我这个结果(在注入脚本之后)

this is a test

alert('xss')

正如你所看到的,test-html div是空的,而test-innerhtml div则是脚本.有人可以告诉我为什么吗?是因为html()对脚本注入或类似的东西更安全吗?

在此先感谢,最好的问候.

解决方法:

JQuery删除了脚本标记,这就是为什么你没有看到它附加到dom,更不用说执行了.

希望这可以帮助

标签:html,javascript,jquery,input,xss

来源: https://codeday.me/bug/20190927/1823729.html

烈焰双雄
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html不执行javascript代码_XSS漏洞篇——JavaScript简单讲解
weixin_27058835的博客
12-25 417
一、JavaScript语言概述JavaScript是互联网上最流行的脚本语言,这门语言可以用于HTML和web,是一种轻量级别的编程语言,可以插入HTML页面的编程代码并且插入HTML页面后,可由所有的现代浏览器来执行。我们在利用xss漏洞的时候,构造执行自己目的的效果的JavaScript代码去获取cookie、钓鱼、挂马、植入广告等等,我们必须学习一些相关的JavaScript基础,才对x...
xsshtml插入js代码,XSS代码触发条件,插入XSS代码的常用方法
weixin_33196646的博客
06-18 1442
1.脚本插入(1)插入javascript和vbscript正常字符。例1:例2:’/在表格中插入脚本例3:(2)转换字符类型。将javascript或vbscript中的任一个或全部字符转换为十进制或十六进制字符例1: ‘/将j字符转为十进制字符j 。例2: ‘/将j字符转为十六进制字符j 。(3)插入混淆字符。在系统控制字符中,除了头部的(null)和尾部的 (del)外,其他31个字符均可作...
InnerHTML属性的XSS利用
weixin_34184158的博客
09-13 1068
来自:http://www.myhack58.com/Article/html/3/7/2011/32395.htm innerHTML 是个奇怪的HTML属性,不是W3C标准支持的,但几乎所有的厂商都默认支持了这样一个属性,最近一些用这个属性试验了很多,这里来分享下 innerHTML一些有意思的问题。所有的元素都有innerHTML属性,它是一个字符串,用来设置或获取位于对象起始和结束标签内...
最全--跨站脚本攻击(XSS)举例和预防方法
最新发布
Keep trying, keep going
04-30 1393
跨站脚本攻击(XSS)是指攻击者通过,从而窃取用户信息、篡改网页内容等。。
innerHTMLXSS攻击
hhhh
04-30 4006
HTML5为所有元素提供了一个innerHTML属性,既能获取对象的内容又能向对象插入内容 属性值:HTML标签/文本 浏览器会将属性值解析为相应的DOM树 HTML解析器在浏览器中是底层代码JavaScript方法快很多,同时意味着替换元素上的关联事件处理程序和JavaScript对象需要手动删除。 插入script和style元素的时候需要看具体的浏览器 XSS攻击 outerHTML ==innerHTML定义的DOM树+自身元素 innerText与outerHTML: innerText:后代
JavaScript代码实现,HTML页面实时预览.zip
02-25
因此,预览之前应确保对代码进行适当的清理和转义,以防止跨站脚本(XSS)攻击。 5. **性能优化**:为了提高用户体验,可以使用节流(throttle)或防抖(debounce)技术限制实时预览的频率,避免频繁的DOM操作导致...
JavaScript中对HTML进行反转义详解
11-22
这种方法与原生JavaScript写法的原理相同,但使用了jQuery库,简化了代码。 在实际应用中,如果你的数据是从服务器端(如Node.js的Express框架中的EJS模板)返回的,且包含HTML实体,你可以使用上述方法进行反转义...
放弃用你的InnerHTML来输出HTMLjQuery Tmpl不详细讲解
10-27
`{{html}}`不进行HTML编码,适用于输出包含HTML的值,但可能导致XSS攻击;`{{=}}`和`${}`会对数据编码,更安全。 - **条件判断与循环**:`{{if}}`、`{{else}}`、`{{/if}}`和`{{each}}`用于条件判断和循环。`{{each...
浅谈html转义及防止javascript注入攻击的方法
10-20
HTML转义与防止JavaScript注入攻击是网络安全中的重要概念,尤其是在Web开发中。本文将详细讲解这两个主题,以帮助开发者理解它们的重要性并采取必要的防护措施。 **HTML转义** HTML转义是一种将特殊字符转换为...
对字符串进行HTML编码和解码的JavaScript函数
10-29
字符串可能包含HTML特殊字符,如 `、`>`、`&` 和 `"` 等,这些字符在插入HTML文档中时,如果不进行适当的编码,可能会导致安全问题,例如XSS(跨站脚本攻击)。为了解决这个问题,JavaScript 提供了一些方法来对...
PHP htmlspecialchars不能防御前端innerHTML产生的XSS注入
weixin_34232617的博客
02-28 402
为什么80%的码农都做不了架构师?>>> ...
【网络安全 / 前端 XSS 防护】一文带你了解 HTML 的特殊字符转义及编码
胡西风的博客
04-01 329
如果用户输入的内容未经过转义或编码处理,并且在个人简介页面上直接显示,那么攻击者可以在自我介绍中插入恶意 HTML 标签或属性。例如,当浏览器检测到页面中的特殊字符被正确转义或编码时,它们会将其视为纯文本,不会将其解析为 HTML 标签或脚本。转义时应考虑多重编码:当字符传输经过多个层级或环节时,确保在每个层级或环节上都进行了正确的编码和转义处理。这样,HTML 标签和属性不再被解析为可执行的代码,保护了页面和用户的安全。这样,URL 中的特殊字符被转义为实体编码,防止了恶意代码的执行。
XSS漏洞的HTMLJS基础
2301_80361487的博客
01-23 642
HTML 标签的大小写无关的,例如 和 表示的意思是一样的,都代表“主体”,推荐使用小写。1.事件(Event)是JavaScript应用跳动的心脏,也是把所有东西粘在一起的胶水,当我们与浏览器中 Web页面进行某些类型的交互时,事件就发生了。 //HTML文档的元数据,机器可读,如">test //标题标签 ,位于页面最上方定义浏览器工具栏中的标题。
前端xss攻击——规避innerHtml过滤标签节点及属性
热门推荐
编程知识分享,主打前端
04-01 1万+
大家好,我是yma16,本文分享xss攻击——规避innerHtml过滤script等动态js节点。xss攻击XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如登录凭据、个人信息等。存储型XSS:攻击者将恶意脚本代码存储到目标网站的数据库中,当用户访问含有恶意代码的页面时,代码会从数据库中被提取并执行。
07 JS-DOM之-innerHTML、innerText、textContent
路遇惊喜
11-29 680
value属性 innerHTML(可以识别标签) innerText <body> <input type="text" value="我是input的内容"/> <div id="box1"> <ul> <li>我用于测试innerHTML</li> </ul> </div> <div id="box2"> <ul>
JS拼接HTML方法以及注意事项
Vinnie.Wu的博客
06-07 1万+
在日常开发中如果使用ajax进行异步刷新页面局部数据,会常用到JS来拼接HTML模块页面。在拼接过程中,尤其注意函数,变量的拼接处理。以下用JS来实现拼接目标页面块:目标展示页面块:(以一个需要刷新的table为例)后台处理hashMaps (List)集合,转化为JSONArray,返回给前端ajax回调函数前端调用的JS方法,根据回调函数返回值拼接table内容,实现刷新:一.首先定义data...
Web的基本漏洞--XSS漏洞
尽欢的博客
05-31 3349
XSS漏洞介绍、XSS漏洞的攻击方式--注入脚本代码
XSS攻击原理与代码实例解析(网络安全教程)
2. XSS示例:作者提供了实际的代码示例,帮助读者直观理解XSS攻击是如何发生的,包括攻击者的恶意代码是如何被嵌入到网站的HTML中,然后在用户不知情的情况下被执行。 3. XSS危害:文章阐述了XSS攻击的危害,比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值