Pikachu-Cross-Site Scripting-DOM型xss_x

查看代码,输入的内容,通过get请求方式,用text 参数带过去;

获取text内容,赋值给xss 然后拼接到 dom 里;构造payload的关键语句:

复制代码
<a href='"+xss+"'>就让往事都随风,都随风吧</a>

闭合标签,如下;

复制代码
<a href='#' onclick="alert(11)">'>就让往事都随风,都随风吧</a>

所以str 为 #' οnclick="alert(11)">

输入,得到xss 结果

同样的,由于直接拼接到 get 的请求参数,所以这也是个反射型;可以直切把url复制出来,达到攻击效果;

相关推荐
天蓝色的鱼鱼2 小时前
关于 CSS 你可能不知道的属性,但关键时刻很有用
前端·css
泯泷3 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
妙码生花3 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十五):优化细节、网络请求封装
前端·后端·ai编程
泯泷3 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
团团崽_七分甜3 小时前
Spring Boot 核心知识点总结
前端
lichenyang4533 小时前
从一个按钮开始,理解 ASCF 框架到底在做什么
前端
古夕4 小时前
第三方 SSO 接入实践:redirect_uri 编码、回调一致性与跨项目联调
前端·vue.js
朦胧之4 小时前
页面白屏卡住排查方法
前端·javascript
用户593608741404 小时前
Playwright 黑魔法:用 ClipboardEvent 绕过 React 富文本编辑器
前端