看到关于跨站点脚本攻击的东西,想做点试验
我往一个text中输入<script>alert('hi');</script>
可以在html源文件中看到
<input name="SelectContent" type="text" value="<script>alert('hi');</script>" id="SelectContent" style="width:150px;" />
但是却没有出现我料想中的对话框,为什么???
我往一个text中输入<script>alert('hi');</script>
可以在html源文件中看到
<input name="SelectContent" type="text" value="<script>alert('hi');</script>" id="SelectContent" style="width:150px;" />
但是却没有出现我料想中的对话框,为什么???
会自动转换的
label 是对其value进行解释的
"/><script>alert('hi');</script>"如果未过滤,那么页面里就是
<input name="SelectContent" type="text" value=""/><script>alert('hi');</script>"" id="SelectContent" style="width:150px;" />//达到目的,弹出窗口,测试成功(自己建立htm测试)