// 存储恶意留言的代码,假设这段代码被存储在数据库中
var maliciousMessage = "<script>alert('恶意代码执行!');</script>";
// 存储恶意留言到数据库
db.saveMessage(maliciousMessage);
// 在网站上显示留言
var messages = db.getMessages();
for (var i = 0; i < messages.length; i++) {
document.write(messages[i]);
}
// 获取来自URL的参数
var userInput = window.location.hash.substring(1);
// 将用户输入插入到页面
document.getElementById('output').innerHTML = userInput;
http://example.com/#<script>alert('DOM型XSS攻击!');</script>
关 注 有 礼
欢迎关注公众号:小酒馆文案
获取包邮送书抽奖码
原文始发于微信公众号(Web安全工具库):深入了解存储型和DOM型XSS漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论