0

好吧,例如,我有这种不太安全和正确的形式

    <BODY>
<FORM ACTION="" METHOD="post" NAME="test" ID="test">
<INPUT TYPE="text" NAME="testt" VALUE="1">
<INPUT TYPE="reset" VALUE="testtt" onClick="test.submit()">
</FORM>

我知道它在注射时很脆弱,但它是故意的。当我直接从页面发送 html 代码时,其形式被解释为 html 代码。但是,当我使用JavaScript 发布请求中的脚本(如表单提交其打印为纯文本)时,我试图将文本转换为 html 实体但仍打印为纯文本,我如何使用将被解释的脚本发送 html 代码作为html代码和注入将是可能的?

4

2 回答 2

0

您可以尝试使用像这样的 html 解析器。

于 2013-03-05T22:03:27.133 回答
0

好的,我的解决方案是为一些特殊字符添加反斜杠并添加CONTENT="text/html;

于 2013-03-05T22:36:35.237 回答