再谈XSS攻击的例子

举个例子

Demo1 - 你好

在浏览器输入：http://testxss.com/xss/demo1.html?search=你好

 

页面效果如下所示：

 

demo1.html的代码如下所示：

<head>
  <meta charset="utf-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0" />
  <title>demo1</title>
</head>
<body>
  <div id="demo1"></div>
  <script>
      window.onload = function () {
          var demo1 = document.getElementById('demo1')
          const queryStr = location.search.substring(8)
          demo1.innerHTML = decodeURIComponent(queryStr)
      }
  </script>
</body>

 

你们知道这里会有什么问题吗？会有xss漏洞吗？

 

没错，这里是存在xss漏洞的。

 

怎么验证？

 

详情请查看： 再谈XSS攻击的例子