关注
dom破坏的复现
GET参数boomer被设置为boomer.innerHTML,通过get参数将内容写入h2标签内,而且有过滤框架DOMPurify。这里的JS代码是没有任何关于ok参数的定义的,所以我们可以使用DOM破坏,通过DOM破坏,将HTML元素注入到DOM中。构造ok参数,因为setTimeout函数执行字符串,所以需要用到或者<textarea>标签。setTimeout可以接受函数或字符串作为参数并执行它。在这里,ok变量被执行,但它不存在。创建JavaScript变量。
个人成就
-
获得80次点赞
-
内容获得0次评论
-
获得48次收藏
-
博客总排名891,131名
TA关注的专栏 1
TA关注的收藏夹 0
TA关注的社区 3
TA参与的活动 1
创作活动更多
「谁说嵌入式只是调包和焊板子?」—— 2026嵌入式全栈技术征锋令
谁说嵌入式只会“Ctrl+C 调包”和“拿电烙铁焊板子”?2026嵌入式全栈技术征锋令正式启幕! 本次活动专为硬核硬件/软件开发者打造,无论你是刚玩转裸机外设的萌新,还是精通RTOS调度、死磕底层驱动的行业老手,亦或是执掌系统架构的大神,这里都是你证明实力的舞台! 拒绝表面功夫,每一行代码,都有撬动硬件的力量!晒出你的硬核工程实战,为嵌入式开发者的全栈硬实力正名!
211人参与 去参加
- 最近
- 文章
- 专栏
- 代码仓
- 资源
- 收藏
- 关注/订阅/互动
