堆棧內存溢出
  簡體   English   中英

如何在 HTML 環境中執行 JavaScript

[英]How to execute JavaScript in HTML environment

 原文  2022-06-02 11:29:19       javascript/ html/ xss

問題描述

對於一個測試項目,我想創建一個XSS易受攻擊的站點。 我的基本結構是一個論壇,人們可以在其中通過輸入字段和提交按鈕添加論壇帖子。 目前,我渲染了應該通過 innerHTML 顯示的新帖子,但是使用這種方法,我想作為攻擊者插入的惡意(例如<script>alert("123")</script> )腳本不會被執行。 我搜索了 innerHTML 的其他替代方案,但沒有一個有效。 如何在我的代碼中實現 JavaScript 渲染?

我嘗試過的事情

appendChild();
eval();
insertAdjacentElement();

用於創建新帖子的輸入字段

<form>
  <label for="topic"
    >Topic:
    <br />
    <input id="topic" required
  /></label>
  <br />
  <br />
  <label for="text"
    >Text:
    <br />
    <input id="text" type="text" required
  /></label>
  <br />
  <button type="submit" id="submit">submit</button>
</form>

輸入示例文本字段(localStorage 是輸入字段的存儲)

<div id="post">
  <script>
    if (localStorage.length > 0) {
      post.innerHTML += localStorage.key(0);
    }
  </script>
</div>

2 個解決方案

解決方案1
 0  2022-06-02 15:19:36

解決方案

這個功能實際上給了我想要的行為。

<div id="post">
  <script>
    if (localStorage.length > 0) {
      post.innerHTML += localStorage.key(0);
      eval(localStorage.getItem(localStorage.key(0)));
    }
  </script>
</div>

解決方案2
 0  2022-06-03 05:44:12

<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
  <form>
      <label for="topic"
        >Topic:
        <br />
        <input id="topic" required 
      /></label>
      <br />
      <br />
      <label for="text"
        >Text:
        <br />
        <input id="text" type="text" required 
      /></label>
      <br />
      <button id="submit" onclick="test()">submit</button>
    </form>
        <div id="TESTDIV">
        </div>
        <script>
            function test(){
                if(localStorage.length >0){
                  item+=localStorage.setItem(document.getElementById("topic").value,document.getElementById("text").value); 
                }
       else{
var item=localStorage.setItem(document.getElementById("topic").value,document.getElementById("text").value);
                  }
                  document.getElementById("TESTDIV").innerHTML= localStorage.getItem(document.getElementById("topic").value);
            }
        </script>
</body>
</html>



Hi! Hope You are well i think i will works.

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在JavaScript環境中執行 如何嵌入和執行JavaScript到HTML? 如何在節點的沙箱環境中執行用戶提交的javascript代碼? 僅在一種環境中執行javascript 如何在 Angular HTML 文件中執行 javascript? 如何從外部HTML執行Javascript 如何在動態加載的HTML中執行Javascript 執行動態HTML / JavaScript 在HTML中執行JavaScript HTML中的Javascript無法執行
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM