javascript注入
javascript注入
<head>
<title>脚本学习</title>
</head>
<body>
<input type="text" id="username" />
<input type="button" value="show" onclick="show()" />
</body>
<script type="text/javascript">
function show()
{
var name=document.getElementById("username").value
document.write(name);
}
</script>
</html>
当在文本框中输入123<script>alert('234')</script>后,此时再点击按钮,除了会显示123还会弹出窗口显示234。
所以,别有用心的人可以在文本框中输入其它的脚本语句,从而实现其它的脚本操作,从而获取用户的信息。当然这只是一种注入方法,防止脚本注入的方法可以用特殊的字符替换用户输入的字符中的html标记。例如:var name=escape(document.getElementById("username").value)
这仅是javascript注入的一个小例子。希望大家给些意见!