我正在测试移动应用,其中一种情况是可以选择输入文字。我已输入html代码,并在下面提交,可以提交
以下代码在我的移动应用上执行
enter code here
<html>
<body>
<button type="button" onclick="alert('Hello world!')">Click Me!</button>
</body>
</html>
结果:显示输入和按钮控件,但按钮点击不显示警告
OR
enter code here
<form action="http://google.com" method="get">
First name: <input type="text" name="fname"><br>
<button type="submit">Submit</button><br>
</form>
结果:显示输入并按下按钮可在应用程序中打开目标外部页面。
OR
enter code here
<form action="" method="post">
<input name="username" value="admin" />
<input name="password" type="password" value="secret" />
<input name="injected" value="injected" dirname="password" />
<input type="submit">
</form>
我甚至可以嵌入YouTube视频并在应用中播放。 1.它有什么样的安全威胁。 2.它在多大程度上损害了应用安全性。 它是否属于XSS。任何用于提取应用信息或提醒弹出窗口的示例脚本都会有所帮助