weixin_51939630
村儿里人儿
采纳率100%
2021-03-02 23:40

基于dom的xss攻击不能实现

<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <head>
        <title> DOM-XSS TEST </title>
        <style>
            #box{width:250px;height:200px;border:1px solid #e5e5e5;background:#f1f1f1;}
        </style>
    </head>
    <body>
        <script>
            window.onload= function(){
                var oBox=document.getElementById("box");
                var oSpan=document.getElementById("span1");
                var oText=document.getElementById("text1");
                var oBtn=document.getElementById("Btn");
                oBtn.onclick = function(){
                    oBox.innerHTML = oBox.innerHTML + oSpan.innerHTML + oText.value + "<br/>";
                    oText.value=""
                };
            }
        </script>

        <div id="box"></div>
        <span id="span1"> YOU:</span>
        <input type="text" id="text1">
        <input id="Btn" type="button" value="发送消息" name="">
    </body>
</html>

这是源码 然后我将<svg/onload=alert(1)>写入的时候没有成功 <script>alert(1)</script>这样的也不行,请教下各位大佬,问题出在哪里了呀,步骤感觉没有错呀 很苦恼 chorme 火狐 edge 都试过了都不行

  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 复制链接分享
  • 邀请回答

3条回答

  • hu071700 AllPromise 1月前

    好像确实不行,试了下只有IMG属性可以,你看看这个

    https://blog.csdn.net/aptentity/article/details/70139622

    点赞 评论 复制链接分享
  • qq_36911145 封印di恶魔 1月前

    script丢页面最下面好不,为啥你们script都喜欢写在上面

    点赞 评论 复制链接分享
  • weixin_51939630 村儿里人儿 1月前

    但是 <img src=1 onerror=alert(1)>这样的代码就可以实现,是onload的问题吗?

    点赞 评论 复制链接分享