qq_43574603 2022-09-19 20:45 采纳率: 50%
浏览 77
已结题

为什么我这个xss不运行

我通过漏洞成功对一个网站注入了XSS,但是js代码块没能运行,注入成功后代码回显如下

img

我实际上是使用了上述alert代码代替了该用户名,在页面上的用户名部分,因为被我的代码代替变成了不显示,控制台里面的元素script的显示是蓝色的,但是进入页面的时候并没有被alert呼出的对话框。
我将控制台的 html代码复制了一份到新的文件里并吧后缀改成.html,然后吧文件拖入浏览器,此时却能正确的弹出alert的窗口。网上搜类似问题都说是<>等符号被转义了,但是我这个显然没有,标签的颜色都是蓝色的,说明标签应该是正常的才对。
我想要达到的结果是,我注入的js代码能正常运行,即可用弹出alert的窗口。我看了一下网站前端是使用vue写的。请问,怎么样能弹出窗口或者能给我解释一下为什么js代码块没能运行成功
  • 写回答

3条回答 默认 最新

  • CSDN专家-showbo 2022-09-19 21:22
    关注

    设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行
    改为dom事件,比如img的onerror事件来自动执行,示例如下

    <div id="app">
    <div v-html="msg"></div>
</div>
<script src="https://cdn.jsdelivr.net/npm/vue@2/dist/vue.js"></script>
<script>
    var vue = new Vue({
        el: '#app',
        data: { msg: '<img onerror="alert(11)" src="xx">' }
    })
</script>
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

  • 为什么我这个xss运行 javascript xss 前端
    2022-09-19 20:45
    回答 3 已采纳 设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行改为dom事件,比如img的onerror事件来自
  • 有人知道这是什么原因吗?xss linux
    2023-03-08 15:50
    回答 2 已采纳 此错误消息通常表示 BeEF-XSS Web 服务器未运行或工作不正常。要解决问题,您可以尝试以下步骤: 检查BeEF-XSS服务是否运行:打开终端,输入命令“systemctl status b
  • 如何设计一个xss过滤器 java xss
    2023-03-06 17:25
    回答 2 已采纳 满足要求的XSS过滤器,可以采取以下步骤: 首先,定义一个过滤器类,该类包含一个过滤方法,用于接受需要过滤的输入字符串,然后返回已过滤的字符串。在过滤方法中,首先将输入字符串转换为小写字母,以防止大小
  • XSS前端防火墙—无懈可击的钩子
    2021-03-03 22:31
    当然,未必是系统函数,任何CPU指令都能被改写成跳转指令,以实现先运行自己的程序。无论是在哪个层面,钩子程序的核心理念都是一样的:无需修改已有的程序,即可先执行我们的程序。这是一种链式调用的模式。调用者...
  • 为什么Http-only可以用来防御XSS攻击? javascript web安全 有问必答 网络安全
    2022-10-11 20:31
    回答 3 已采纳 js获取不到设置cookie时添加了http-only属性的cookie内容,比如用户登录网站后的身份cookie值,cookie和身份session是关联一起的。但是xss还是可以做破坏,比如修改页
  • 关于论坛系统的防止XSS攻击的问题 vue.js xss 前端
    2023-04-19 18:41
    回答 3 已采纳 首先,XSS攻击(Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞,在网页中注入恶意脚本,以达到攻击目的。 在前端方面,
  • beef-xss打不开 apache linux php
    2023-03-08 23:03
    回答 2 已采纳 不知道你这个问题是否已经解决, 如果还没有解决的话: 给你找了一篇非常好的博客,你可以看看是否有帮助,链接:BeEF-XSS实验手记如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 写成博客
  • 前端安全(XSS和CSRF)
    2022-09-08 22:54
    会飞的战斗鸡的博客 脚本中创建一个图片,图片中创建一个img,在img的src中将请求地址改为自己的脚本,并附带当前网站的cookie,就可以拿到cookie了。点击搜索,我们会发现,网站"执行了"我们的脚本,这样我们就实现了最简单的xss攻击。
  • 这个消毒是否有任何XSS泄漏 php xss
    2014-01-12 14:38
    回答 1 已采纳 From a security standpoint, there is no need to use your sanitize function as long as you escape /
  • jquery dom型xss手工利用 javascript jquery xss 有问必答
    2022-06-07 17:34
    回答 2 已采纳 贴出来的代码没看到具体html操作,notice这个扩展应该用到相关的html方法,可能存在xss注入漏洞,检查notice扩展的代码,相关参考 jquery html方
  • 程序里用了setAttribute(Stirng name, Object o)方法,如何对这个方法做xss处理 java xss
    2023-03-25 18:20
    回答 1 已采纳 参考GPT和自己的思路:你的代码是实现一个自定义的HttpServletRequestWrapper,用于在setAttrubute()方法中对传入的参数进行XSS处理。具体来说,stripXSS()
  • 前端安全XSS,CSRF
    2022-07-29 07:12
    前端-JC的博客 XSS(Cross-site scripting)跨站脚本攻击: 用户在页面渲染数据时注入可运行的恶意脚本 目的是盗用cookie,获取敏感信息,得到更高权限
  • 网页被测出xss 漏洞,常态处理已经用上了,没有说为什么有xss. 只说有xss. 请问怎么处理呢? xss
    2022-04-22 18:11
    回答 1 已采纳 添加拦截器进行过滤处理,需要去除一些脚本字符如script,望采纳! import java.io.IOException; import javax.servlet.FilterChain;
  • 前端安全系列】【万字详解】如何防止XSS攻击?
    2022-12-22 15:39
    东方睡衣的博客 跨站脚本攻击(XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的...
  • 前端xss 漏洞
    2022-03-15 18:11
    ~ climber ~的博客 1、数据从一个不可靠的链接进入到一个web应用程序; 2、没有过滤掉恶意代码的动态内容呗发送给web 用户。 xss攻击可以分为3类,存储型(持久型)、反射型(非持久型)、DOM型。 存储型XSS 注入型脚本永久存储在...
  • 没有解决我的问题, 去提问

问题事件

  • 系统已结题 9月27日
  • 已采纳回答 9月19日
  • 创建了问题 9月19日

悬赏问题

  • ¥15 请教:如何用postman调用本地虚拟机区块链接上的合约?
  • ¥15 为什么使用javacv转封装rtsp为rtmp时出现如下问题:[h264 @ 000000004faf7500]no frame?
  • ¥15 乘性高斯噪声在深度学习网络中的应用
  • ¥15 运筹学排序问题中的在线排序
  • ¥15 关于docker部署flink集成hadoop的yarn,请教个问题 flink启动yarn-session.sh连不上hadoop,这个整了好几天一直不行,求帮忙看一下怎么解决
  • ¥15 深度学习根据CNN网络模型,搭建BP模型并训练MNIST数据集
  • ¥15 C++ 头文件/宏冲突问题解决
  • ¥15 用comsol模拟大气湍流通过底部加热(温度不同)的腔体
  • ¥50 安卓adb backup备份子用户应用数据失败
  • ¥20 有人能用聚类分析帮我分析一下文本内容嘛