2013-03-05 55 views
0

嘛,比如我有這樣的沒有真正安全,正確的形式發送HTML代碼

<BODY> 
<FORM ACTION="" METHOD="post" NAME="test" ID="test"> 
<INPUT TYPE="text" NAME="testt" VALUE="1"> 
<INPUT TYPE="reset" VALUE="testtt" onClick="test.submit()"> 
</FORM> 

其對注入我知道脆弱的,但其上的目的。當我發送HTML代碼直接從頁面與形式解釋爲HTML代碼。 但是,當我使用腳本從JavaScript post request like a form submit其打印爲純文本我試圖將文本轉換爲HTML實體,但它仍然打印爲純文本,我怎麼coudl發送HTML代碼使用該腳本將被解釋爲HTML代碼和注入將有可能嗎?

+0

我的意思是,我可以有兩種方式,直接從網頁發送形式與形式或使用腳本,我提到的問題時,我直接在頁面上解釋爲html 只是當我使用URL中的腳本時,將bg顏色更改爲紅色,並將其作爲純文本進行了整合 – whd 2013-03-05 22:11:12

回答

0

你可以嘗試使用HTML解析器像this one.

0

確定我的溶液中加入反斜槓一些特殊的字符,添加CONTENT="text/html;