我有一个具有action属性的表单:
action="http://www.somewebsite.com/search?=value"
这种形式恰好托管在容易受到XSS攻击的Web服务器上(不要担心它是本地托管的,仅用于研究目的)。
我正在尝试将脚本添加到url的末尾,如下所示:
action="http://www.somewebsite.com/search?=value<script type='text/javascript'>alert(1);</script>"
但是,当生成请求时,脚本标记就会消失。但是,如果我直接在表单中输入标签以及我想要的搜索字符串,例如:
mySearchString<script type='text/javascript'>alert(1);</script>
它会附加到网址并执行javascript。关于如何将脚本标记添加到action属性中的url并将它们传递给值的想法?
感谢您的帮助!
编辑:这不是一个重复的问题,因为我没有尝试将附加参数附加到URL,而是想将脚本标签附加到网址,如上所示。添加上面帖子中建议的隐藏字段会创建像
这样的东西action="http://www.somewebsite.com/search?=value&newValue=<script type='text/javascript'>alert(1);</script>"
隐藏字段:
<input type="hidden" name="newValue" id='v' value="<script type='text/javascript'>alert(1);</script>"/>
我想要的是:
action="http://www.somewebsite.com/search?=value<script type='text/javascript'>alert(1);</script>"