Skip to main content

moregeek program

关于js注入的一点小实验-多极客编程

      闲来无事突然想玩玩js注入了,以下是一点小实验,有兴趣的朋友可以试试。话说一般浏览器保存账户和密码然后自动登陆的原理是不是这个,还请大神指教(●''●)。


新建一个txt文本,命名为”test1“,把以下代码复制进去,然后把文件后缀名改为“html”。

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title></title>
</head>
<body>
<form action="HTMLPage1.htm" id="form1" name="form1"">
<input id="Text1" type="text" />
<input id="Text2" type="text" />
<input id="Button1" type="button" value="button" />
</form>
</body>

</html>


双击test1,然后在地址栏中输入以下js。

javascript:alert(document.form1.Text1.value="12313");
javascript:alert(document.form1.Text2.value="12313");
javascript:alert(document.form1.submit());


但是浏览器会自动屏蔽“javascript”,所以,可以复制以下js,然后去除”j2avascript“中的“2”

j2avascript:alert(document.form1.Text1.value="12313");

j2avascript:alert(document.form1.Text2.value="12313");

j2avascript:alert(document.form1.submit());


然后敲回车,就可以看到效果了。


简单解释一下,利用可以在本机上修改网页上的任何内容。

javascript:alert(XXXXX);

意思是从表单form1中获得名为Text1的文本框,然后赋值“12313”。

javascript:alert(document.form1.Text1.value="12313");

意思是提交表单form1。

javascript:alert(document.form1.submit());


©著作权归作者所有:来自51CTO博客作者270jia40的原创作品,如需转载,请注明出处,否则将追究法律责任
关于js注入的一点小实验
https://blog.51cto.com/270jia40/1669058

防止js注入-多极客编程

  使用jquery对特殊字符进行转义,防止js注入   在使用ajax进行留言的时候,出现了一个问题.因为留言内容写完之后,通过ajax提交内容,同时使用js把留言的内容添