如何执行<script> tag coming in AJAX call, without making any change in client side JS
[英]How to to execute <script> tag coming in AJAX call, without making any change in client side JS
问题描述
[
{
"Book ID": "1",
"Book Name": "UNIX **<script type='text/javascript'>alert('test')</script>**",
"Category": "Computers",
"Price": "113"
},
{
"Book ID": "2",
"Book Name": "Book two",
"Category": "Programming",
"Price": "562"
}
]
这是我通过API发送的JSON,我与多个人共享。 当我使用JavaScript解析JSON时,不会执行<script>标记。 我应该对注入JSON的JS进行哪些修改,以便在不对客户端JS进行任何额外工作的情况下执行<script>标记。 可能吗?
2 个解决方案
解决方案1
0 2017-02-09 09:34:40
这不可能。
如果您用于将代码插入文档中的技术没有触发JS,那么更改您要插入的内容将无法解决该问题。
解决方案2
0 2017-02-09 09:36:26
您有两种选择:
在客户端页面中找到一个漏洞并加以利用,例如,如果客户端js得到了API答案并在未经过消毒的<label>标签中打印出来,则可以发送</label><script>alert(1)</script><label>因此您的脚本将关闭标签,注入脚本并再次将其打开。
或者,您可以在客户端进行最少的修改,然后从API获取对象,如下所示:
{
"Book ID": "1",
"Book Name": "UNIX",
"script": "alert('test')",
"Category": "Computers",
"Price": "113"
},
然后,在客户端运行:
Function(obj.script)();
从客户端 JavaScript AJAX 调用 WebAPI GET 方法,得到错误
[英]Making a call to a WebAPI GET method from client side JavaScript AJAX, getting error
有没有办法尝试/捕获来自给定的任何JS噪声<script> tag
[英]Is there a way to try/catch any JS noise coming from a given <script> tag
如何在Ajax响应返回的脚本标签内执行javascript
[英]How to execute javascript inside a script tag returned by an ajax response
首先调用服务器端代码,然后调用客户端脚本,而无需使用AJAX
[英]first invoke server side code then client side script without using AJAX
JSPM-使用import和使用script标签来包含客户端库文件是否有优点/缺点?
[英]JSPM - Are there any advantages/disadvantages in including client side library files using import vs using the script tag?
如何使用任何客户端脚本或服务器端脚本在Calender Extender中禁用上一个日期
[英]How to Disable Previous Date in Calender Extender Using any client Side Script OR Server Side Script
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
进行Ajax调用时如何尊重客户端验证
在非ajax调用中在客户端执行JavaScript
在js中执行脚本标签
从客户端 JavaScript AJAX 调用 WebAPI GET 方法,得到错误
有没有办法尝试/捕获来自给定的任何JS噪声<script> tag
如何从Node JS客户端调用Node JS函数
如何在Ajax响应返回的脚本标签内执行javascript
首先调用服务器端代码,然后调用客户端脚本,而无需使用AJAX
JSPM-使用import和使用script标签来包含客户端库文件是否有优点/缺点?
如何使用任何客户端脚本或服务器端脚本在Calender Extender中禁用上一个日期
相关标签