Javascript可以放在HTML页面中的方式除了:
<script> </script>标记或从外部文件加载。<a href="javascript:code goes here;"></a> <form action="javascript:code goes here;"></form> 答案 0 :(得分:4)
javascript:采用URI的其他属性中的URI(例如img src)expression 不要黑名单,请确保使用白名单。事情发生了变化。请记住,字符可以替换为HTML实体。解析HTML,将其传递给白名单过滤器,然后将其序列化为HTML。
答案 1 :(得分:2)
CSS中的Javascript
基本上,您也可以在url()所在的地方注入JavaScript:
body { background: url(javascript: code goes here); }
图片脚本注入(过时的浏览器)
<img src="javascript:code goes here" />
<input type"image" src="javascript:code goes here" />
通过XSS技术可以找到更多:XSS Cheat Sheet
答案 2 :(得分:-1)
我不相信有更多选择 - 否则很容易找到安全漏洞(XSS)。
你有什么特别的尝试吗?或只是好奇?