gpt4 book ai didi

javascript - 当注入(inject)的代码在带引号的 html 属性中输出时,是否可能存在 XSS 漏洞

转载 作者:行者123 更新时间:2023-12-01 02:40:28 24 4
gpt4 key购买 nike

如果我有一段像这样的 HTML:

<div class=“feature-some-id”>
该类的

some-id 部分源自通过查询参数的用户输入,并且该查询参数尚未在我能够执行此操作的服务器上转义:

<div class=“feature-some-id</script>”>

html 通过 Express 应用程序输出,如下所示:

res.render('my-template', {
classNameSuffix: req.params.id
});

所以这是原始用户输入。

攻击者有什么方法可以突破该脚本以便执行脚本吗?

最佳答案

如果您可以传入报价作为查询参数的一部分

?id=some-id"><script>alert()</script>

并让它以未转义的方式结束在req.params.id中,然后你会得到

<div class="feature-some-id"><script>alert()</script>

显然您可以为您想要执行的任何代码更改alert()

关于javascript - 当注入(inject)的代码在带引号的 html 属性中输出时,是否可能存在 XSS 漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47603003/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com