通过'执行javascript;onCellChange'
Execute javascript through 'onCellChange'
对于一个教育测试项目,我在留言簿中发现了一个小漏洞。留言簿正在过滤所有javascript事件,但"onCellChange"事件似乎没有被阻止。
我应该能够用这个标签执行Javascript吗?
我试过以下方法,但都会成功:
<ELEMENT onCellChange=alert(1)>
主要问题是意图是什么以及alert(1)
来自哪里。如果该脚本来自开发团队,目的是在单元格更改时显示1,那么这是一件好事,没有问题。如果一个Javascript来自用户输入,那么它就是XSS注入的尝试,应该阻止它执行。
总而言之,你的问题的答案很大程度上取决于上下文。
相关文章:
- 使用ja将对象添加到HTML画布中
- 如何从document.getElementsByClassName('myTxtBox');中获取ja
- 在 Jsctypes 中将 char * 从 javascript 传递到 c,并将 char * 从 c 传递到 ja
- 是否可以避免使用getter和setter的模式,并且仍然使用闭包ADVANCED_OPTIMIZATIONS最小化Ja
- 如何重置“;readonly=true”;从php创建的表单中的输入字段为“”;readonly=false”;使用ja
- 通过'执行javascript;onCellChange'
- 无法在chrome本地存储中使用jquery,如何使用.remove() jquery方法的css:有伪选择器只使用ja
- 使用ja/jQuery提交表单,并停留在同一页面
- “test”和“test”有什么区别?Javascript变量和"#test"变量可以将var ja
- What's the difference between & and && in Ja
- SlickGrid onCellchange
- chrome中的Javascript window.print(),关闭新窗口或选项卡而不是取消打印会在父窗口中阻止Ja
- Jquery - customize ui.ja
- 带有Hierarchy的Telerik radgrid不会在OnHierarchyExpanding事件上运行客户端ja
- 调用JavaScript函数oncellchange