【javascript 伪协议】小结
2024-09-01 01:26:26
【javascript 伪协议】
将javascript代码添加到客户端的方法是把它放置在伪协议说明符javascript:后的URL中。这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行。如果javascript:URL中的javascript代码含有多个语句,必须使用分号将这些语句分隔开。这样的URL如下所示:
1
|
javascript: var now = new Date(); "<h1>The time is:</h1>" + now; |
当浏览器装载了这样的URL时,它将执行这个URL中包含的javascript代码,并把最后一条javascript语句的字符串值作为新文档的内容显示出来。这个字符串值可以含有HTML标记,并被格式化,其显示与其他装载进浏览器的文档完全相同。
javascript URL还可以含有只执行动作,但不返回值的javascript语句。例如:
1
|
javascript:alert( "hello world!" ) |
装载了这种URL时,浏览器仅执行其中的javascript代码,但由于没有作为新文档来显示的值,因此它并不改变当前显示的文档。
通常我们想用javascript:URL执行某些不改变当前显示的文档的javascript代码。要做到这一点,必须确保URL中的最后一条语句没有返回值。一种方法是用void运算符显式地把返回值指定为underfined,只需要在javascript:URL的结尾使用语句void 0;即可。例如:下面的URL将打开一个新的空浏览器窗口,而不改变当前窗口的内容:
1
|
javascript:window.open( "about:blank" ); void 0; |
如果这个URL没有void运算符,window.open()方法的返回值将被转换成字符串并被显示出来,当前窗口将被如下所示的文档覆盖。
不是所有标记属性值都能产生xss,通常只有引用文件的属性才能触发xss
可用来测试的属性:
href lowsrc bgsound background value action dynsrc
最新文章
- Python的高级特性4:函数式编程
- EditPlus v4.5 简体中文
- Delphi下的OpenGL开发入门
- 如何给EDIUS添加区域性马赛克
- kettle 数据库连接中断重置
- (转)android屏幕适配
- LeetCode: 3SumClosest
- 使用Struts2实现文件的上传和下载
- Cocos2d-x V2.x -- 开发进阶和高级实例教程(一) 转
- 提高数据库的查询速率及其sql语句的优化问题
- 关于Python的super用法研究
- 在Linux上使用PGP签名验证文件完整性
- 选择排序(JAVA实现)
- zeal工具的安装与使用(离线api文档浏览器)
- POJ 2895
- Linux - rm 修复误删文件
- 从Python学习中得到的一点启发 - Java逆向索引ArrayList
- (C#基础)创建文件,文件夹
- constexpr和常量表达式的注意事项
- 2018-2019-20172321 《Java软件结构与数据结构》第九周学习总结