Почему эта атака с помощью javascript не работает?

Question

Почему эта атака с помощью javascript не работает?

Я пытаюсь найти правильный способ обезопасить свой Javascript от атак внедрения кода.

Итак, я создал то, что я думал, будет успешной инъекцией кода:

    document.getElementById("result").innerHTML = "hello <script> alert(0) <\/script> kuku";

Оценка document.getElementById("result").innerHTML в отладчике показывает, что он прошел:

"hello <script> alert(0) </script> kuku"

Так почему же нет оповещения?

0

javascript code-injection javascript-injection

Источник

user2712050 18 май '15 в 01:44

1 ответ

Другие вопросы по тегам javascript code-injection javascript-injection

user182668 18 май '15 в 01:48 2015-05-18 01:48 · Answer 1 · 2015-05-18 01:48

Настройка .innerHTML к содержанию, которое включает <script> блоки никогда не вызовут оценку встроенного кода. Вот только как .innerHTML работает.

2

Источник

user182668 18 май '15 в 01:48