2016-10-03 128 views
-5

我已經有了一個註冊表單,具有相同的定期詳細信息'提交'按鈕來填寫以便獲得系統註冊。我試圖將腳本注入文本框,但這些都受到保護。現在我想在標籤上注入腳本,因此每當有人打開該頁面時,我在標籤上注入的腳本就會被執行。如何在HTML標籤中注入JavaScript?

回答

0

如果您想將JavaScript注入HTML標記或頁面,這意味着網站/網頁/代碼在安全方面易受HTML注入攻擊。你可以注入到文本框的可能的代碼是

1)><script>alert(1)</script><!--
2)'><script>alert(1)</script><!--
3)"><script>alert(1)</script><!--

什麼上面的命令做接近任何「或」如果他們是開放的,注入javascript代碼並註釋掉其餘的代碼,所以javascript會被執行,並且之後的所有其他內容不會被執行。

另一種用於HTML注入的高級技術
http://target.com/?user=<img src='aaa' onerror=alert(1)>

上述命令僅搜索名稱爲「aaa」的圖像,如果未找到,則會注入或執行導致HTML注入的onerror JavaScript函數。

這並不安全。如何防止這種類型的攻擊?

<>符號編碼爲<和>,它們負責執行代碼中的腳本,即它們負責執行javascript。
1)code = code.replace(/</g, "&lt;").replace(/>/g, "&gt;");
2)你可以使用一個名爲ParseHTML的jquery函數。
3)您也可以使用htmlspecialchars函數來逃避這些類型的攻擊。

希望這可以幫助你。

相關問題