javascript - img 标签上的 XSS 错误
问题描述
我正在测试一个网站,我发现在 img 中找不到 src 时,onerror 使用了另一个图像。如果我检查并使用警报更改 onerror,它完全可以工作。这是潜在的 XSS 漏洞吗?
解决方案
用户在自己的浏览器中编辑 DOM 的能力不是 XSS 漏洞(尽管它可能是网络钓鱼攻击的载体)。
onerror与任何具有被视为 JavaScript 的值的属性一样,如果攻击者可以将内容注入其中(或创建属性作为将内容注入 HTML 文档的一部分),则可以将其用作 XSS 攻击的一部分。
推荐阅读
- javascript - 你将如何重构这个 Javascript 对象循环?
- javascript - 在 vue.js 中创建一个包含数据的 obj 名称
- javascript - 为什么这种将 html 表单信息下载为字符串/.txt 文件的方法会从文件中删除所有换行符?
- python-3.x - 结束 LTSpice 模拟的指令
- tableau-api - 如何修复在订单中检查日期的计算字段?
- android-textinputlayout - 有没有办法在 1.1.0+ 中使用 TextInputLayout 创建未填充的 TextInputEditText?
- codeigniter - 如何从codeigniter的同一控制器中的2个相关表中获取数据?
- docker - Docker 安装在 armv7 上
- c# - C# SignalR2 从服务器接收在线用户列表
- math - 使用全局旋转在其局部轴上旋转对象?