我已经提交了一份注册表,其中包含相同的常规详细信息,并且提交了#39;按钮填写以便在系统中注册。我试图将脚本注入文本框,但这些脚本受到保护。现在我想在标签上注入脚本,这样每当一个人打开那个页面时,我在标签上注入的脚本就会被执行。
答案 0 :(得分:2)
如果您想将javascript注入HTML标记或页面,则意味着网站/网页/代码在安全术语中容易受到HTML注入攻击。您可以注入文本框的可能代码是
1)'><script>alert(1)</script><!--
2)"><script>alert(1)</script><!--
3)http://target.com/?user=<img src='aaa' onerror=alert(1)>
上面的命令所做的是关闭任何'或',如果它们是打开的并注入一个javascript代码并注释掉其余的代码。所以javascript被执行,之后的所有其他内容都没有得到执行。
另一种HTML注入的高级技术
<
上面的命令只是搜索名为'aaa'的图像,如果没有找到它会注入或执行onerror javascript函数,导致HTML注入。
这根本不安全。如何防止这种类型的攻击?
将>和code = code.replace(/</g, "<").replace(/>/g, ">");符号编码为&lt;和&gt;它们负责执行代码中的脚本,即它们负责执行javascript。
1)ParseHTML
2)您可以使用名为htmlspecialchars的jquery函数。
3)您也可以使用from功能来逃避这些类型的攻击。</ p>
希望这会对你有所帮助。