通过阴影根突破注入

Question

我不是JS程序员。 我没有足够的技能自己进行测试，因此寻求帮助。 是否可以将script或HTML标记注入shadow_root元素以检查Web上的孔？

例如<script>alert("alert");</script>

也许还可以通过<content> ？

主要问题：有可能吗？

还有一个问题：如何？

Answer 1

根据我在评论中可以得到的信息，您想知道您的用户是否可以在您的网站页面中注入代码。 答案是肯定的，用户拥有与他面前的DOM一起玩耍的所有权利。 简单的方法是简单地打开您喜欢的浏览器的开发人员工具。

自己动手...在此处打开开发人员的工具窗口，访问控制台并编写

document.write("<script>alert(\"alert\");</script>");

如您所见，您甚至可以直接在StackOverflow上进行任何更改。 但这绝对不会对他人造成伤害，仅对您造成伤害。 尽管您可以在SO上做到这一点确实意味着它根本不安全！ 只是您的浏览器可以完全控制收到的内容...

现在，问题应该更多地在于如何在应用程序中检测可能有害的注入点。

答案很简单，永远不要相信客户的输入。 服务器应始终验证输入，并确保不可能进行数据库注入。 在显示用户提供的内容时，还应确保没有隐藏的代码标签，这些标签将由查看网页的用户的浏览器运行。

StackOverflow不适合这种知识共享。 我建议您阅读一般的网站安全性，然后再找到与您的技术堆栈以及用户输入的用法有关的更多深入资源。

同样，如果您要此项是一项真正的工作任务，则会得到您的帮助。 最重要的事情是告诉经理您不适合该任务。 不是因为您缺乏才华，而是因为您缺乏知识。 这表明您足够聪明，可以将任务视为非常重要（安全性非常重要），并且您不愿意扮演公司的声誉。

见workplace.stackexchange.com如果你想知道如何最好地解释给你的上司。