xss案例

首先进入XSS Game - Learning XSS Made Simple! | Created by PwnFunction打开环境

Ma Spaghet

在script里面给使用get传参给somdbody传一个值,若没有传值,默认传Somebody+Toucha Ma Spaghet!,赋值给spaghet,放在h2标签中,spaghet后会有一个innerHTMl的属性

script标签内有插入,但无法执行,切换img尝试

jeff关卡

复制代码
<!-- Challenge -->
<h2 id="maname"></h2>
<script>
    let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")
    let ma = ""
    eval(`ma = "Ma name ${jeff}"`)
    setTimeout(_ => {
        maname.innerText = ma
    }, 1000)
</script>

第一关一样

先get传参获取'jeff'的值,如果没有参数就默认为JEFFF

js获取到页面的jeff参数,并通过eval赋值给ma,再将ma复制到maname的text

Ugandan Knuckles

不能使用https://sandbox.pwnfunction.com/?html=&js=&css=.;

直接通过双引号闭合placeholder的参数

相关推荐
牧羊狼的狼11 小时前
React 中的 HOC 和 Hooks
前端·javascript·react.js·hooks·高阶组件·hoc
知识分享小能手12 小时前
React学习教程,从入门到精通, React 属性(Props)语法知识点与案例详解(14)
前端·javascript·vue.js·学习·react.js·vue·react
魔云连洲12 小时前
深入解析:Vue与React的异步批处理更新机制
前端·vue.js·react.js
mCell13 小时前
JavaScript 的多线程能力:Worker
前端·javascript·浏览器
超级无敌攻城狮14 小时前
3 分钟学会!波浪文字动画超详细教程,从 0 到 1 实现「思考中 / 加载中」高级效果
前端
excel15 小时前
用 TensorFlow.js Node 实现猫图像识别(教学版逐步分解)
前端
gnip15 小时前
JavaScript事件流
前端·javascript
赵得C16 小时前
【前端技巧】Element Table 列标题如何优雅添加 Tooltip 提示?
前端·elementui·vue·table组件
wow_DG16 小时前
【Vue2 ✨】Vue2 入门之旅 · 进阶篇(一):响应式原理
前端·javascript·vue.js
weixin_4569042716 小时前
UserManagement.vue和Profile.vue详细解释
前端·javascript·vue.js