[英]How to execute JavaScript in HTML environment
對於一個測試項目,我想創建一個XSS易受攻擊的站點。 我的基本結構是一個論壇,人們可以在其中通過輸入字段和提交按鈕添加論壇帖子。 目前,我渲染了應該通過 innerHTML 顯示的新帖子,但是使用這種方法,我想作為攻擊者插入的惡意(例如<script>alert("123")</script>
)腳本不會被執行。 我搜索了 innerHTML 的其他替代方案,但沒有一個有效。 如何在我的代碼中實現 JavaScript 渲染?
我嘗試過的事情
appendChild();
eval();
insertAdjacentElement();
用於創建新帖子的輸入字段
<form>
<label for="topic"
>Topic:
<br />
<input id="topic" required
/></label>
<br />
<br />
<label for="text"
>Text:
<br />
<input id="text" type="text" required
/></label>
<br />
<button type="submit" id="submit">submit</button>
</form>
輸入示例文本字段(localStorage 是輸入字段的存儲)
<div id="post">
<script>
if (localStorage.length > 0) {
post.innerHTML += localStorage.key(0);
}
</script>
</div>
解決方案
這個功能實際上給了我想要的行為。
<div id="post">
<script>
if (localStorage.length > 0) {
post.innerHTML += localStorage.key(0);
eval(localStorage.getItem(localStorage.key(0)));
}
</script>
</div>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<form>
<label for="topic"
>Topic:
<br />
<input id="topic" required
/></label>
<br />
<br />
<label for="text"
>Text:
<br />
<input id="text" type="text" required
/></label>
<br />
<button id="submit" onclick="test()">submit</button>
</form>
<div id="TESTDIV">
</div>
<script>
function test(){
if(localStorage.length >0){
item+=localStorage.setItem(document.getElementById("topic").value,document.getElementById("text").value);
}
else{
var item=localStorage.setItem(document.getElementById("topic").value,document.getElementById("text").value);
}
document.getElementById("TESTDIV").innerHTML= localStorage.getItem(document.getElementById("topic").value);
}
</script>
</body>
</html>
Hi! Hope You are well i think i will works.
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.