XSS笔记

最新推荐文章于 2024-10-24 12:35:35 发布
最新推荐文章于 2024-10-24 12:35:35 发布
阅读量330 收藏
点赞数
分类专栏: 逆向安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cyyAray/article/details/78295678
版权

http://103.238.227.13:10089/

bugku XSS题

<script>
    var s="";   document.getElementById('s').innerHTML = s;
</script>

你使用document.getElementById()可以取到页面上一个有id的元素
然后访问这个元素的属性,比如value

当一个元素有value属性的时候,其value才会有值
例1
<input type="text" id="txt1" value="hello"/>
这样一个元素,当你使用document.getElementById("txt1").value时,可以得到其value值,即"hello"这个字符串。

如果一个元素没有value值,那么使用document.getElementById().value时是取不到。这是理所当然的,没有的东西怎么访问?
比如一个div标记,就不一定有value值。

innerHTML
这个是指元素中的内容
例2

一个元素有起始标记和结束标记如

<label id="lb1">this is a label</label>

当你使用document.getElementById("lb1").innerHTML可以取到<label>与</label>之间的内容,即“this is a label”。

document.getElementById().innerHTML

注入原理:http://blog.youkuaiyun.com/haifu_xu/article/details/17754673

利用imgonerror 来执行代码

xss 笔记
LAngle9的博客
03-24 633
1,xss : 因为和css 冲突,改名字是xss,属于客户端攻击,网站管理员也是用户,攻击者盗取管理员的cookie,靠管理员身份作为“跳板”进行实施攻击。 XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是javascript语言,但也会使用其它的脚本语言 j avascript语言:是跨平台的,在jsp,php,asp,aspx,都可以使用 xss 用的脚本是可以构造的,有两千多种方法,要记者常用的函数就行 script, alert, img src 1.2 XS.
个人笔记-渗透测试-XSS漏洞
weixin_48162696的博客
05-22 686
XSS,反射型,存储型,XSS的检测和利用,XSS的防御方法
document.getelementbyid().value与document.getElementById().innerHTML的区别
zhaoguxiaoshi的博客
08-18 2万+
document.getelementbyid().value与document.getElementById().innerHTML什么区别   使用document.getElementById()可以取到页面上一个有id的元素 然后访问这个元素的属性,比如value 当一个元素有value属性的时候,其value才会有值 例1 这样一个元素,当你使用document.ge
document.getElementById()方法使用
热门推荐
酣睡的熊㊣的技术博客
02-07 36万+
document.getElementById使用 语法:oElement = document .getElementById ( sID ) 参数:sID――必选项。字符串 (String) 。 返回值:oElemen――对象 (Element) 。 说明:根据指定的 id 属性值得到对象。返回 id 属性值等于 sID 的第一个对象的引用。假如对应的为一组对象,则返回该组对象中的第一
document.getElementById详解
~飞 鸟 (*^__^*) 天 堂~
10-31 3380
document.getElementById(" ") 得到的是一个对象,用 alert 显示得到的是 “ object ”,而不是具体的值,它有 value 和 length 等属性,加上 .value 得到的才 是具体的值! 参考资料: 1. document . getElementById 的用法和 DHTML.CHM 的下载地址 今天在网络上
document.getElementById(‘username‘).value 是什么
一季南凉的博客
03-25 1607
js
获得输入框的文本document.getElementById('id').value;
shy_snow的专栏
05-07 1万+
xss game挑战笔记.pdf
02-11
### XSS Game挑战笔记知识点概述 #### 一、XSS攻击简介 XSS(Cross Site Scripting)即跨站脚本攻击,是一种常见的Web应用程序安全漏洞。攻击者通过在Web页面中注入恶意脚本代码,当用户浏览该页面时,嵌入其中的...
XSS学习笔记
Likhaooo的博客
03-27 251
文章目录1. XSS的定义2. XSS的原理3. XSS的攻击方式4. XSS的防御措施5.xss闭合 1. XSS的定义 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2. XSS的原理 攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。 诱使受害者打开受到攻击的服务器URL。 受害者在Web浏览器中打开URL,恶意脚本执行。 3
网络安全XSS挑战笔记:从基础到实战的跨站脚本攻击绕过技巧与编码解析
最新发布
04-20
内容概要:本文档是作者在参与XSS挑战过程中总结的经验和技巧。文档首先介绍了XSS的基础知识,包括HTML和JavaScript编码的区别及其在不同场景下的应用,以及浏览器解析代码的顺序。接着详细描述了从第一关到第十九关...
document.getelementbyid().value与innerHTML使用场景对比,别再搞错了兄嘚
Rosen's
08-09 1万+
首先getElementById()可以获取到页面上一个有id的元素,进而可以访问该元素的对应属性值,比如说value。 <input type="text" id="txt" value="hello html"/> 比如html页面中有上面这个id为txt的input元素 //获取该元素对象 var txt = document.getElementById('txt'); //...
document.getElementById()后面有没有.value有什么区别
tjmengqw的博客
08-13 2401
document.getElementById() 是获得元素; document.getElementById().value 是获得元素的值,假如这个元素事个type为text的input,它就会获得这个input点value值;
Document获取元素并修改内容:getElementById()方法、value属性、innerHTML属性、innerText属性
pan_junbiao的博客
09-25 3528
Document 对象,当 HTML 文档加载到 Web 浏览器中时,它就变成了一个文档对象。文档对象是 HTML 文档的根节点。文档对象是窗口对象的属性。innerHTML 属性声明了元素含有的 HTML 文本,不包括元素本身的开始标记和结束标记。通过该属性可以为指定的 HTML 文本替换元素内容。innerText 属性与innerHTML 属性的功能类似,只是该属性只能声明元素包含的文本内容,即使指定的是 HTML 文本,它也会认为是普通文本而原样输出。
getElementById(“”).value报错
qq_74252110的博客
10-24 314
首先我知道getelementbyid在找不到相应的id属性元素时会返回null。并且null.property会报以上的错误,将代码。或者将<script>放到<body>中也可以。在复习web时,写了这个代码。插入函数中就不会报错,像。
JS中document.getelementbyid().value与innerHTML的区别
大橙子_Change的博客
02-28 1万+
使用document.getElementById()可以取到页面上一个有id的元素 然后访问这个元素的属性,比如value 当一个元素有value属性的时候,其value才会有值 &lt;input type="text" id="txt1" value="hello"/&gt; 这样一个元素,当你使用document.getElementById(“txt1”).value时,可以...
document.getElementById(“id名字”).value与$(属性名称).val()之间的区别
wqr111的博客
12-16 2948
首先使用document.getElementById(“id名字”).value的值时如果为空,JS会报错,导致页面死掉不动了。控制台报错。 如果使用$(属性名称).val(),则没有影响,会友好的执行其他下年的操作 区别 document.getElementById("id") 得到 的是[object HTMLDivElement]一个DOM对象; $("#id") 得到 的是[object Object]一个Jquery 对象。 转换 $(docu...
JavaScript中document.getElementById().value与innerHTML的区别
Elsa~的博客
02-26 6944
首先我们来认识一下HTML DOM Document对象 每个载入浏览器的HTML文档都会成为Document对象。Document对象使我们可以从脚本中对HTML页面的所有元素进行访问。 而Document对象是Window对象的一部分,可以通过window.document属性对其进行访问。 而getElementById()是Document对象的方法,该方法返回对拥有指定id的第一个...
js中document.getElementById("id").value+1问题
huazicomeon的博客
07-16 7025
document.getElementById("id").value的数据类型是不确定的 如果你是要相加用这样的写法比较好 document.getElementById("id").value=document.getElementById("id").value*1+1; 字符串拼接的话用这个 document.getElementById("id").value=document.
ajax调用时,document.getElementById获取不到值
chaplinlong的博客
07-29 3004
今天写ajax的一个小例子的时候,document.getElementById居然获取不到值,后来找到了,对自己很是无语。 先看jsp页面<body> <script type="text/javascript"> var req = null; function test() { var name = document.all.na
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值