为什么这个javascript注入攻击不起作用?

时间:2015-05-18 01:44:25

标签: javascript code-injection javascript-injection

我正在努力找到加强我的Javascript以防止代码注入攻击的正确方法。

所以,我创建了我认为成功注入代码的内容:

    document.getElementById("result").innerHTML = "hello <script> alert(0) <\/script> kuku";

在调试器中评估document.getElementById("result").innerHTML表明它确实经历了:

"hello <script> alert(0) </script> kuku"

那怎么没有警报?

1 个答案:

答案 0 :(得分:2)

.innerHTML设置为包含<script>块的内容永远不会导致嵌入的代码被评估。这就是.innerHTML的工作方式。