当前位置: 文江博客话题详情

如何在HTML环境中执行JavaScript

发布于 2025-02-03 23:26:09 字数 1137 浏览 2 评论 0原文

对于一个测试项目,我想创建一个 xss clibnerable站点。我的基本结构是一个论坛,人们可以在其中通过输入字段和提交按钮添加论坛帖子。目前,我呈现新帖子,该帖子应通过InnerHTML显示,但是使用此方法,恶意(例如< script> arter(“ 123”)</script>)脚本,我想插入它攻击者没有被执行。我搜索了Innerhtml的其他替代方案,但它们都没有起作用。如何在代码中实现JavaScript渲染?

我尝试的事情

appendChild();
eval();
insertAdjacentElement();

创建新帖子的输入字段

<form>
  <label for="topic"
    >Topic:
    <br />
    <input id="topic" required
  /></label>
  <br />
  <br />
  <label for="text"
    >Text:
    <br />
    <input id="text" type="text" required
  /></label>
  <br />
  <button type="submit" id="submit">submit</button>
</form>

输入示例文本字段(localstorage是输入字段的存储)

<div id="post">
  <script>
    if (localStorage.length > 0) {
      post.innerHTML += localStorage.key(0);
    }
  </script>
</div>
原文

For a testing project I want to create a XSS vulnerable site. My basic structure is a forum where people can add forum posts via input fields and a submit button. Currently I render the new post which should be displayed via innerHTML but with this method the malicious (e.g. <script>alert("123")</script>) script which I want to insert as an attacker gets not executed. I searched for other alternatives to innerHTML but none of them worked. How can I achieve JavaScript rendering in my code?

Things I tried

appendChild();
eval();
insertAdjacentElement();

Input fields for creation new post

<form>
  <label for="topic"
    >Topic:
    <br />
    <input id="topic" required
  /></label>
  <br />
  <br />
  <label for="text"
    >Text:
    <br />
    <input id="text" type="text" required
  /></label>
  <br />
  <button type="submit" id="submit">submit</button>
</form>

Input example text field (localStorage is the storage from the input fields)

<div id="post">
  <script>
    if (localStorage.length > 0) {
      post.innerHTML += localStorage.key(0);
    }
  </script>
</div>

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

沦落红尘 2025-02-10 23:26:09

解决方案

此功能实际上为我提供了所需的行为。

<div id="post">
  <script>
    if (localStorage.length > 0) {
      post.innerHTML += localStorage.key(0);
      eval(localStorage.getItem(localStorage.key(0)));
    }
  </script>
</div>

Solution

This function gives me actually the desired behaviour.

<div id="post">
  <script>
    if (localStorage.length > 0) {
      post.innerHTML += localStorage.key(0);
      eval(localStorage.getItem(localStorage.key(0)));
    }
  </script>
</div>
回复 原文
厌味 2025-02-10 23:26:09
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
  <form>
      <label for="topic"
        >Topic:
        <br />
        <input id="topic" required 
      /></label>
      <br />
      <br />
      <label for="text"
        >Text:
        <br />
        <input id="text" type="text" required 
      /></label>
      <br />
      <button id="submit" onclick="test()">submit</button>
    </form>
        <div id="TESTDIV">
        </div>
        <script>
            function test(){
                if(localStorage.length >0){
                  item+=localStorage.setItem(document.getElementById("topic").value,document.getElementById("text").value); 
                }
       else{
var item=localStorage.setItem(document.getElementById("topic").value,document.getElementById("text").value);
                  }
                  document.getElementById("TESTDIV").innerHTML= localStorage.getItem(document.getElementById("topic").value);
            }
        </script>
</body>
</html>



Hi! Hope You are well i think i will works.

<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
  <form>
      <label for="topic"
        >Topic:
        <br />
        <input id="topic" required 
      /></label>
      <br />
      <br />
      <label for="text"
        >Text:
        <br />
        <input id="text" type="text" required 
      /></label>
      <br />
      <button id="submit" onclick="test()">submit</button>
    </form>
        <div id="TESTDIV">
        </div>
        <script>
            function test(){
                if(localStorage.length >0){
                  item+=localStorage.setItem(document.getElementById("topic").value,document.getElementById("text").value); 
                }
       else{
var item=localStorage.setItem(document.getElementById("topic").value,document.getElementById("text").value);
                  }
                  document.getElementById("TESTDIV").innerHTML= localStorage.getItem(document.getElementById("topic").value);
            }
        </script>
</body>
</html>



Hi! Hope You are well i think i will works.
回复 原文
~没有更多了~

关于作者

揪着可爱

暂无简介

文章
评论
26 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

十二

文章 0 评论 0

飞烟轻若梦

文章 0 评论 0

OPleyuhuo

文章 0 评论 0

wxb0109

文章 0 评论 0

旧城空念

文章 0 评论 0

-小熊_

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文