XSS原理及代码分析 (2)

DOM型XSS程序只有HTML代码,并不存在服务端代码,所以此程序并没有与服务端进行交互。程序存在JS函数tihuan(),该函数得作用是通过DOM操作将元素id1得内容修改为元素dom_input的内容。
这个页面得功能是输入框中输入什么,上面得文字就会被替换成什么。

XSS原理及代码分析


如果我们输入恶意代码,比如

XSS原理及代码分析

,单击替换按钮,页面弹出消息框,由于隐式输出,所以查看源代码时是看不到XSS代码的。

XSS原理及代码分析

XSS修复建议

过滤输入的数据包括但不限于单引号,双引号,“<,>”等。

对输出到页面的数据进行相应的编码转换,包括HTML实体编码,JavaScript编码等。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zyyxjp.html