我不是 JS 程序员。我没有足够的技能来自己测试它,所以寻求帮助。是否可以将脚本或 HTML 标签注入shadow_root元素以检查网络上的漏洞?
例如<script>alert("alert");</script>
也许其他的东西喜欢使用<content>?
主要问题:有可能吗?
还有一个问题:如何?
问问题
183 次
1 回答
1
根据我在评论中可以挖掘的内容,您想知道您的用户是否可以在您的网站页面中注入代码。答案是肯定的,用户拥有玩他面前的 DOM 的所有权利。最简单的方法是打开您最喜欢的浏览器的开发者工具。
自己动手...在此处打开您的开发人员工具窗口,到达控制台并编写
document.write("<script>alert(\"alert\");</script>");
如您所见,您甚至可以直接在 StackOverflow 上更改任何内容。但这绝对不会对他人造成伤害,只会伤害你自己。虽然您可以在 SO 上做到这一点,但这确实意味着它根本不安全!只是您的浏览器可以完全控制它收到的内容......
现在,问题应该是如何在我的应用程序中检测到这种注入可能有害的可能点。
答案很简单,永远不要相信客户的输入。服务器应始终验证输入,并确保没有数据库注入可能。在显示用户提供的内容时,还应确保没有隐藏代码标签会被查看网页的用户的浏览器运行。
StackOverflow 不适合这种知识共享。我建议您阅读有关网站安全的一般信息,然后找到与您的技术堆栈和您对用户输入的使用相关的更深入的资源。
此外,如果您要求这是一项真正的工作任务,那么您已经得到了。最重要的是告诉你的经理你不适合这项任务。不是因为你缺乏天赋,而是因为你缺乏知识。这表明您足够聪明,可以将任务视为非常重要(安全非常重要),并且您不愿意拿公司的声誉开玩笑。
如果您想知道如何最好地向您的上级解释这一点,请访问workplace.stackexchange.com 。
于 2017-10-09T10:19:59.540 回答