本文探讨了针对hidden元素使用AccessKey进行XSS攻击的不同浏览器表现。实验表明Chrome和IE不支持hidden元素的AccessKey,而Firefox则支持。此外,当多个元素拥有相同AccessKey时,不同浏览器激活元素的行为也存在差异。
在一些文章中,对于hidden的元素进行xss攻击时,提到可以使用accesskey的方式进行。
根据实践,我使用了三个浏览器:
chrome 68
firefox 61
IE 11
结果为:IE和chrome不支持hidden的accesskey,准确的说可能是不支持相关onfocus或者onclick事件,firefox支持
当快捷键相同时:
chrome激活最后一个元素,
IE和firefox激活下一个元素,或者说是当前焦点所在元素的下一个元素
当快捷键相同的元素中包含hidden时,hidden元素默认为第一个元素:
chrome可触发最后一个元素,但hidden无法触发
firefox遇到下一个元素为hidden时,则无法触发hidden,同时,也不会继续往下执行快捷键
IE不受影响,会跳过hidden元素执行
求指教
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
