C 知道

消息
创作中心
qq_43574603 2022-09-19 12:45 采纳率: 50%
浏览 87
已结题

为什么我这个xss不运行

我通过漏洞成功对一个网站注入了XSS,但是js代码块没能运行,注入成功后代码回显如下

img

我实际上是使用了上述alert代码代替了该用户名,在页面上的用户名部分,因为被我的代码代替变成了不显示,控制台里面的元素script的显示是蓝色的,但是进入页面的时候并没有被alert呼出的对话框。
我将控制台的 html代码复制了一份到新的文件里并吧后缀改成.html,然后吧文件拖入浏览器,此时却能正确的弹出alert的窗口。网上搜类似问题都说是<>等符号被转义了,但是我这个显然没有,标签的颜色都是蓝色的,说明标签应该是正常的才对。
我想要达到的结果是,我注入的js代码能正常运行,即可用弹出alert的窗口。我看了一下网站前端是使用vue写的。请问,怎么样能弹出窗口或者能给我解释一下为什么js代码块没能运行成功
  • 写回答

3条回答 默认 最新

  • CSDN专家-showbo 2022-09-19 13:22
    关注

    设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行
    改为dom事件,比如img的onerror事件来自动执行,示例如下

    <div id="app">
    <div v-html="msg"></div>
</div>
<script src="https://cdn.jsdelivr.net/npm/vue@2/dist/vue.js"></script>
<script>
    var vue = new Vue({
        el: '#app',
        data: { msg: '<img onerror="alert(11)" src="xx">' }
    })
</script>
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)
编辑
预览

报告相同问题?

  • XSS前端防火墙—无懈可击的钩子
    2021-03-03 14:31
    当然,未必是系统函数,任何CPU指令都能被改写成跳转指令,以实现先运行自己的程序。无论是在哪个层面,钩子程序的核心理念都是一样的:无需修改已有的程序,即可先执行我们的程序。这是一种链式调用的模式。调用者...
  • 前端安全:如何防止XSS攻击?
    2025-01-29 11:53
    破碎的天堂鸟的博客 XSS攻击是一种常见但危险的漏洞,通过输入验证、输出编码、HTTP头部策略、内容安全策略以及现代框架的使用,可以有效降低XSS攻击的风险。同时,持续的安全检测和团队的安全意识提升也是保障前端安全的重要环节。
  • 关于pdf文件xss攻击问题,配置xssFilter方法
    2023-12-21 05:40
    XSS攻击是通过在网页中注入可执行的脚本,当用户访问被注入脚本的页面时,这些脚本会在用户的浏览器环境中运行,从而可能执行攻击者设计的各种操作。PDF文件中的XSS攻击则是在PDF阅读器解析文档时触发恶意脚本,而...
  • Web前端安全策略之XSS的攻击与防御
    2024-09-11 19:57
    2401_86951385的博客 危害极大的一种攻击类型,跨站代码存储在服务器(数据库)中。我们通过例子来了解一下该攻击类型是如何实现的。...那么再回到发表回复的那个步骤,如果用户点击提交的时候,表单数据被改为这个样子怎么办?如图。
  • 前端xss攻击——规避innerHtml过滤标签节点及属性
    2024-03-31 23:30
    yma16的博客 xss攻击XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如...
  • 2024年前端最全前端预防XSS攻击全攻略_反射型xss前端如何限制,字节前端面试必问
    2024-05-06 11:50
    2401_84446787的博客 然后其他用户在社交网站里浏览到了黑客的这个评论,评论内容会被返回到其浏览器里去,此时评论内容是包含恶意js脚本的,马上恶意脚本运行,可利用cookie伪造你的用户登录的session 状态,去以你这个用户的名义干一些...
  • 前端安全(XSS和CSRF)
    2022-09-08 14:54
    会飞的战斗鸡的博客 脚本中创建一个图片,图片中创建一个img,在img的src中将请求地址改为自己的脚本,并附带当前网站的cookie,就可以拿到cookie了。点击搜索,我们会发现,网站"执行了"我们的脚本,这样我们就实现了最简单的xss攻击。
  • 前端安全系列(一):如何防止XSS攻击?零基础入门到精通,看这篇就够了!赶紧收藏!
    2025-02-26 07:11
    baimao__沧海的博客 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在...
  • 前端安全系列】【万字详解】如何防止XSS攻击?
    2022-12-22 07:39
    东方睡衣的博客 跨站脚本攻击(XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的...
  • 前端xss 漏洞
    2022-03-15 10:11
    ~ rainbow~的博客 1、数据从一个不可靠的链接进入到一个web应用程序; 2、没有过滤掉恶意代码的动态内容呗发送给web 用户。 xss攻击可以分为3类,存储型(持久型)、反射型(非持久型)、DOM型。 存储型XSS 注入型脚本永久存储在...
  • 没有解决我的问题, 去提问

问题事件

  • 系统已结题 9月26日
  • 已采纳回答 9月19日
  • 创建了问题 9月19日
手机看
程序员都在用的中文IT技术交流社区

程序员都在用的中文IT技术交流社区

专业的中文 IT 技术社区,与千万技术人共成长

专业的中文 IT 技术社区,与千万技术人共成长

关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

 客服 返回
顶部