如何使用Selenium WebDriver测试XSS漏洞？

Question

我正在为我的应用程序编写自动化测试。 我想到的测试之一是检查应用程序中的XSS漏洞（特别是脚本/标记注入）。

假设我有一个接受文本输入的字段：

<input id="messageInput" name="message" />

并假设它在其他地方打印输入消息，如下所示：

<p id="messageOutput">You entered ${message}</p>

最简单的测试用例将尝试提供诸如<b>Hello</b>标记，而不是纯文本。

如何验证标记实际上未在浏览器上呈现？ 我可以想到的一种肮脏的方法是转到显示输入的元素。

@FindBy(id = "messageOutput")
WebElement messageOutput;

public boolean isMarkupRendered() {
    try {
        messageOutput.findElement(By.tagName("b"));
        return true;
    } catch (NoSuchElementException e) {
        return false;
    }
}

但是，这将我的方法与我可能提供的测试数据联系在一起-它的通用性不足以与诸如

<script>document.body.style.backgroundColor='red'</script>

有什么建议吗？ 硒是否提供更清洁的方法？

Answer 1

到目前为止，我还没有遇到过获取元素css属性（特别是颜色）的情况：

 public String jsGetColor(String css){

        JavascriptExecutor js = (JavascriptExecutor) driver;
        StringBuilder stringBuilder = new StringBuilder();
        stringBuilder.append("var x=$(\'"+css+"\');");
        stringBuilder.append("return x.css('color')");
        String res= (String) js.executeScript(stringBuilder.toString());
        return res;

    }

因此，如果您确切知道元素的类型，那就是使用该元素的CSS属性进行操作：文本，图片等。

-如何确认标记实际上未在浏览器上呈现？ -有很多方法可以证明硒中存在或不存在某种物质：

input.findElements(By.xpath("//xpath")).size() > 0


driver.findElement(By.cssSelector(html>blablabla....)).isDisplayed()

public bool IsElementPresent(By selector)
{
    return driver.FindElements(selector).Any();
}

希望这可以对您有所帮助）