我在自己的代码上测试xss攻击.下面的示例是一个简单的框,用户可以在其中键入他想要的任何内容.按下“测试!”后按钮,JS会将输入字符串显示为两个div.这是我更好地解释我的问题的一个例子:
function testIt(){
var input = document.getElementById('input-test').value;
var testHtml = document.getElementById('test-html');
var testInnerHTML = document.getElementById('test-innerHTML');
$(testHtml).html(input);
testInnerHTML.innerHTML = input;
}
如果您尝试将其复制到.html文件并运行它,它将正常工作,但如果您尝试输入< script> alert(‘xss’)< / script>,则只会抛出一个警告框: `test-html’div内的一个(带有html()函数).
我真的不明白为什么会发生这种情况,而且,用firebug检查代码会给我这个结果(在注入脚本之后)
this is a test
alert('xss')
正如你所看到的,test-html div是空的,而test-innerhtml div则是脚本.有人可以告诉我为什么吗?是因为html()对脚本注入或类似的东西更安全吗?
在此先感谢,最好的问候.
解决方法:
JQuery删除了脚本标记,这就是为什么你没有看到它附加到dom,更不用说执行了.
希望这可以帮助
标签:html,javascript,jquery,input,xss
来源: https://codeday.me/bug/20190927/1823729.html