嘛,比如我有這樣的沒有真正安全,正確的形式發送HTML代碼
<BODY>
<FORM ACTION="" METHOD="post" NAME="test" ID="test">
<INPUT TYPE="text" NAME="testt" VALUE="1">
<INPUT TYPE="reset" VALUE="testtt" onClick="test.submit()">
</FORM>
其對注入我知道脆弱的,但其上的目的。當我發送HTML代碼直接從頁面與形式解釋爲HTML代碼。 但是,當我使用腳本從JavaScript post request like a form submit其打印爲純文本我試圖將文本轉換爲HTML實體,但它仍然打印爲純文本,我怎麼coudl發送HTML代碼使用該腳本將被解釋爲HTML代碼和注入將有可能嗎?
我的意思是,我可以有兩種方式,直接從網頁發送形式與形式或使用腳本,我提到的問題時,我直接在頁面上解釋爲html 只是當我使用URL中的腳本時,將bg顏色更改爲紅色,並將其作爲純文本進行了整合 – whd 2013-03-05 22:11:12