代码如下
$("#wqwqw").bind("click",function(){
window.location.href=window.location.origin+"test.html";
})
我感觉几行代码没有问题,但是代码扫描漏洞,说是 基于dom的xss攻击,
这几行代码,也没有页面传的参数啊,理解不了,脑壳疼,大佬们请赐教
代码如下
$("#wqwqw").bind("click",function(){
window.location.href=window.location.origin+"test.html";
})
我感觉几行代码没有问题,但是代码扫描漏洞,说是 基于dom的xss攻击,
这几行代码,也没有页面传的参数啊,理解不了,脑壳疼,大佬们请赐教
是由于DOM结构修改导致的,基于浏览器DOM解析的攻击 用户打开带有恶意的链接 浏览器在DOM解析的时候直接使用恶意数据 用户中招 常见的触发场景就是在修改innerHTML outerHTML document.write的时候