通過陰影根突破注入

Question

我不是JS程序員。 我沒有足夠的技能自己進行測試，因此尋求幫助。 是否可以將script或HTML標記注入shadow_root元素以檢查Web上的孔？

例如<script>alert("alert");</script>

也許還可以通過<content> ？

主要問題：有可能嗎？

還有一個問題：如何？

Answer 1

根據我在評論中可以得到的信息，您想知道您的用戶是否可以在您的網站頁面中注入代碼。 答案是肯定的，用戶擁有與他面前的DOM一起玩耍的所有權利。 簡單的方法是簡單地打開您喜歡的瀏覽器的開發人員工具。

自己動手...在此處打開開發人員的工具窗口，訪問控制台並編寫

document.write("<script>alert(\"alert\");</script>");

如您所見，您甚至可以直接在StackOverflow上進行任何更改。 但這絕對不會對他人造成傷害，僅對您造成傷害。 盡管您可以在SO上做到這一點確實意味着它根本不安全！ 只是您的瀏覽器可以完全控制收到的內容...

現在，問題應該更多地在於如何在應用程序中檢測可能有害的注入點。

答案很簡單，永遠不要相信客戶的輸入。 服務器應始終驗證輸入，並確保不可能進行數據庫注入。 在顯示用戶提供的內容時，還應確保沒有隱藏的代碼標簽，這些標簽將由查看網頁的用戶的瀏覽器運行。

StackOverflow不適合這種知識共享。 我建議您閱讀一般的網站安全性，然后再找到與您的技術堆棧以及用戶輸入的用法有關的更多深入資源。

同樣，如果您要此項是一項真正的工作任務，則會得到您的幫助。 最重要的事情是告訴經理您不適合該任務。 不是因為您缺乏才華，而是因為您缺乏知識。 這表明您足夠聰明，可以將任務視為非常重要（安全性非常重要），並且您不願意扮演公司的聲譽。

見workplace.stackexchange.com如果你想知道如何最好地解釋給你的上司。