0
在這種情況下:我該如何使用這個dom xss?
var count = $(count_el).data("count");
$(target).html("hello"+count);
這是否意味着,只有當我們可以在URL改變data('count')可我們使用這個DOM XSS?
像<script>codes</script>等
A
回答
0
jQuery.data存儲元件上的信息或對象本身(如果它是一個元素它首先從data-*標籤拉動數據)。
$el = $("<div data-count='1'></div>")
$el.data('count') // 1
$el.data() // {"count":1}
但是,如果你擔心XSS和莫名其妙的惡意HTML嵌入數據標籤,你可以使用.text()代替.html()。
$parent = $("<div></div>");
$child = $("<div data-count='<script>alert(\"malicious code\");</script>'></div>");
count = $child.data('count')
$parent.html(count) // this will run the embedded script
$parent.text(count) // this will not
+0
我知道如何預防,我只是好奇如何在這種情況下創建一個簡單的XSS攻擊 – Lanston 2013-05-02 04:51:14
+0
我不知道你在找什麼,你在哪裏閱讀或看到[.data()]( http://api.jquery.com/data/)與URL有關? – potatosalad 2013-05-02 05:01:43
相關問題
- 1. DoM XSS jquery
- 2. 防止DOM XSS
- 3. 我該如何group_concat這個?
- 4. 我該如何刮這個?
- 5. 我該如何使這個RewriteRule工作?
- 6. 我該如何使這個CommandParameter工作?
- 7. 我該如何使這個AJAX工作?
- 8. 我該如何調用這個函數?
- 9. 如何從JSP中刪除這個XSS?
- 10. 我該如何使用這些數據?
- 11. cakephp3-如何做xss過濾?我使用
- 12. 我該如何解決這個錯誤?我正在使用mariadb10
- 13. 我應該如何使用變量和jQuery Dom導航?
- 14. 我應該如何在Python中使用這個onclick(javascript)
- 15. 我該如何測試這個PL/SQL過程? (使用utplsql)
- 16. 我該如何在表單中使用這個fileupload?
- 17. 我應該如何解析使用parse.json(jQuery的)這個值
- 18. 我應該如何改變這個使用CCParallaxNode?
- 19. cocos2d,CC_HONOR_PARENT_TRANSFORM_SCALE,我該如何使用這個枚舉屬性?
- 20. 使用ESPN API,我該如何解析這個JSON?
- 21. 我該如何修改這個以使用3D數組?
- 22. 我該如何使用java模板實現這個方法?
- 23. 我該如何使用mysql查詢來解決這個問題?
- 24. 我該如何解析這個使用Swift 3.0的JSON對象
- 25. 我該如何使用這個PHP數組?
- 26. 我該如何使這個Java通用轉換?
- 27. 我該如何在循環之外使用這個變量?
- 28. 我該如何使用?將這兩條線合併爲一個?
- 29. 我該如何定義這個?
- 30. 我該如何解決這個問題?
您無法使用URL更改數據。它被設置在JS的某處,試圖找到它。 – Andrey 2013-05-02 04:00:16