0
在這種情況下:我該如何使用這個dom xss?
var count = $(count_el).data("count");
$(target).html("hello"+count);
這是否意味着,只有當我們可以在URL改變data('count')可我們使用這個DOM XSS?
像<script>codes</script>等
A
回答
0
jQuery.data存儲元件上的信息或對象本身(如果它是一個元素它首先從data-*標籤拉動數據)。
$el = $("<div data-count='1'></div>")
$el.data('count') // 1
$el.data() // {"count":1}
但是,如果你擔心XSS和莫名其妙的惡意HTML嵌入數據標籤,你可以使用.text()代替.html()。
$parent = $("<div></div>");
$child = $("<div data-count='<script>alert(\"malicious code\");</script>'></div>");
count = $child.data('count')
$parent.html(count) // this will run the embedded script
$parent.text(count) // this will not
+0
我知道如何預防,我只是好奇如何在這種情況下創建一個簡單的XSS攻擊 – Lanston 2013-05-02 04:51:14
+0
我不知道你在找什麼,你在哪裏閱讀或看到[.data()]( http://api.jquery.com/data/)與URL有關? – potatosalad 2013-05-02 05:01:43
相關問題
- 1. 我該如何刮這個?
- 2. 我該如何調用這個函數?
- 3. 我該如何解決這個錯誤?我正在使用mariadb10
- 4. 我應該如何使用變量和jQuery Dom導航?
- 5. 我應該如何在Python中使用這個onclick(javascript)
- 6. 我應該如何解析使用parse.json(jQuery的)這個值
- 7. 我該如何使這個Java通用轉換?
- 8. 我該如何測試這個PL/SQL過程? (使用utplsql)
- 9. 我該如何使用?將這兩條線合併爲一個?
- 10. cocos2d,CC_HONOR_PARENT_TRANSFORM_SCALE,我該如何使用這個枚舉屬性?
- 11. 我該如何在表單中使用這個fileupload?
- 12. 我該如何使用這個PHP數組?
- 13. 我該如何使用java模板實現這個方法?
- 14. 我該如何解析這個使用Swift 3.0的JSON對象
- 15. XSS DOM易受攻擊
- 16. JavaScript DOM XSS注入驗證
- 17. 檢測DOM XSS攻擊
- 18. 我該如何扭轉這個過程?
- 19. 我該如何組裝這個程序
- 20. 我該如何編寫這個查詢?
- 21. 我該如何解決這個ClassCastException?
- 22. 我該如何簡化這個JavaScript?
- 23. 我該如何簡化這個數組?
- 24. 我該如何簡化這個PHP?
- 25. 我該如何解決這個UnicodeDecodeError?
- 26. 我該如何解決這個問題?
- 27. 我該如何解釋這個LNK2005?
- 28. 我該如何解決這個問題?
- 29. 我該如何解決這個錯誤?
- 30. 我該如何簡化這個jQuery?
您無法使用URL更改數據。它被設置在JS的某處,試圖找到它。 – Andrey 2013-05-02 04:00:16