标签: javascript xss
我正在测试一个网站,当找不到src时,我在img中发现该错误使用了另一个图像。如果我检查并通过警报更改了onerror,则它将完全起作用。这是潜在的XSS漏洞吗?
答案 0 :(得分:3)
用户在自己的浏览器中编辑DOM的能力不是XSS漏洞(尽管它可能是网络钓鱼攻击的载体)。
onerror与 any 属性一样,其值被视为JavaScript,则如果攻击者可以向其中注入内容(或创建该属性),则可以将其用作XSS攻击的一部分作为将内容注入HTML文档的一部分。
onerror