如何在页面加载时从 INPUT HTML 标记启动 XSS 代码?

信息安全 xss html
2021-09-02 10:38:27

假设我有一个网站,上面有以下代码:

<input type="text" id="search-text" name="query" value="?" />

双引号不会被转义,因此我可以突破 value 属性,但是,我不能将 HTML 标记本身拆分为 '<'>并被过滤掉。

我的目标是让 javascript 弹出窗口出现。

  • 有这个onfocus属性,所以我猜如果有人点击文本输入框,可能会出现一个 javascript 弹出窗口。
  • 但是,有没有办法在页面首次加载时出现 javascript 弹出窗口?
2个回答

试试这个:

" onfocus="alert(1)" autofocus="

它将扩展为:

<input type="text" id="search-text" name="query" value="" onfocus="alert(1)" autofocus="" />

这将导致一个警告框,显示 XSS。

您也可以为此结帐

ONLOAD=alert('XSS')

页面加载时会产生一个警告框。

其它你可能感兴趣的问题
上一篇要求客户发送信用卡照片以确认其身份是标准做法吗? 下一篇为什么 PGP 使用对称加密和 RSA?