我不是JS程序员。我自己没有足够的技能来测试它,所以请求帮助。
是否可以将脚本或HTML标记注入shadow_root元素以检查Web上的漏洞?
例如<script>alert("alert");</script>
使用<content>可能还有其他的东西吗?
主要问题:是否可能?
还有一个问题:如何?
答案 0 :(得分:1)
根据我在评论中可以挖掘的内容,您想知道您的用户是否可以在您的网站页面中注入代码。答案是肯定的,用户拥有在他面前玩DOM的所有权利。简单的方法是打开您最喜爱的浏览器的开发者&#39;工具。
自己动手......在这里打开开发人员的工具窗口,到达控制台并编写
document.write("<script>alert(\"alert\");</script>");
如您所见,您甚至可以直接在StackOverflow上更改任何内容。但是,这对你的其他人来说绝对不会造成伤害。虽然你可以做到这一点,但确实意味着它根本不安全!只是您的浏览器可以完全控制它收到的内容......
现在,问题应该是如何在我的应用程序中检测可能存在此类注入可能有害的点。
答案很简单,绝不相信客户输入。服务器应始终验证输入,并确保不存在数据库注入。在显示用户提供的内容时,还应确保没有隐藏的代码标记将由浏览网页的用户的浏览器运行。
StackOverflow不适合这种知识共享。我建议你阅读一般的网站安全性,然后找到更多与你的技术堆栈相关的深度资源以及你对用户的使用情况。输入
另外,如果您要求这是一个真正的工作任务,那么您已经获得了。最重要的事情是告诉你的经理你不适合这项任务。不是因为你缺乏才能,而是因为你缺乏知识。这表明您足够聪明,认为任务非常重要(安全非常重要),您不愿意使用公司的声誉。
如果您想知道如何向上司解释这一点,请参阅workplace.stackexchange.com。