问题标签 [html-injections]

可以在不接受数据输入（搜索、用户名、密码等）的网页上进行 HTML 注入或 XSS 注入吗？

有一个浏览器扩展可以修改页面并将它自己的 html 代码插入其中，我得到了正在检查的页面的 html 代码，但是来自扩展的 html 代码注入并没有进入它，尽管如果你运行签入浏览器，然后有一个注入。

那些。渲染页面后，扩展在页面内部集成了一个块：

当试图捕捉这个块时，puppeteer 没有找到它：

尝试查找项目时出现超时转储:: Timeout - 在 jest.setTimeout 指定的 30000 毫秒超时内未调用异步回调。超时 - 在 jest.setTimeout.Error 指定的 30000 毫秒超时内未调用异步回调：

如果您查看存储在页面中的 html，则通知块不会到达那里......也许有人会知道我如何使用 puppeteer 跟踪 html 注入并操纵它们？

我们正在使用名为 FASTAPI 的 Python 框架开发 REST API。html 注入的代码安全测试失败。他们在 post 有效负载中发送一些 html 标记代码，我们将其插入 DB 并在 GET Response 中发送相同的代码。在 FASTAPI 中处理请求时，有什么方法可以防止这种 HTML 注入。

在我们的企业软件中，我们允许客户提供自己的 HTML 来自定义应用程序的“联系”和“法律”页面。这是一个不错的功能，但由于我们的应用程序对实际提供 HTML 的应用程序一无所知，我想知道如何解决这样的问题。我已经阅读了一些博客文章、SO 帖子并观看了一些视频，但这些仅解释了 HTML 注入的危险或如何使用createElement或innerHTML其他直接方法进行操作。

我正在寻找最安全的方法来显示我无法直接控制的 HTML。任何文章或图书馆将不胜感激。

好吧，我以为我疯了，因为我在这方面一再失败，但我想，也许 html 发生了一些我不理解的事情。

我一直在尝试从 cnn.com 上抓取“文章”。

但无论我用哪种方式尝试了soup.find_all('articles')，或者soup.find('body').div('div')...等带有类标签、id等，都失败了。

我找到了这个参考：Webscraping from React web application after componentDidMount。

我怀疑 html 中的注入是我遇到问题的原因。

我从网络安全阅读中知道除了“html 注入攻击”之外的 0 注入。

我想要这些文章，但我假设我需要使用类似于上面其他堆栈溢出问题链接的策略。我不知道怎么。帮助文档或特别是 cnn 抓取的链接将不胜感激。

或者，如果有人知道我如何获得 html body 元素的“完整数据”，那么我可以在我的早期代码中重新排列这个定义，然后重新分配 body。

“或者只是告诉我我是个白痴，走错了路”

嗨，我正在尝试将 html 代码从 String 注入到视图中，但尝试时遇到了一些错误，我卡住了：

这是 Node.js 路线上的代码：

这是 Links() 函数

在 HTML 中：

最后，我的浏览器出现错误，不允许我从路径发送的 html 正确读取。请帮助我。我卡住了

这是游泳池： const pool = require('../database');

这是 database.js：

浏览器也只检测文本，不检测代码。

在浏览器中查看源 在 此处输入图像描述

您正在使用哪个确切的数据库库？要求（'mysql'）

而且，您的浏览器中的错误究竟是什么？

在此处输入图像描述

我正在尝试构建一个在 Twitter 上生成文本的 Chrome 扩展程序。我正在努力在输入字段中注入文本。

这是我的做法：

• 如果用户已经输入了一些内容，它会很好用
• 如果用户尚未输入内容，我必须稍微更改 HTML（删除默认值<br>并添加一个<span>）

但是，在第二个用例中，它不起作用。占位符保持可见并且输入被破坏。

看看它的实际效果：=> https://www.loom.com/share/4bac993ba2cd4ee4a38fc209e751e323

（不想看视频的图片）

我错过了什么吗？除了 HTML 的更改之外，是否还有某种 JS 变量的更改？

谢谢

我刚刚遇到在PHP中构建一个CRUD应用程序，讲师提醒我们使用htmlentities()以避免HTML 注入，然后他说htmlentities不应在您的代码中多次调用，我的问题很简单……为什么？

干杯

OWASP 对 HTML 注入页面 (链接) 的测试显示了一个特定的代码，该代码应该容易受到 HTML 注入的攻击。

这段代码是 ( domxss.com ) 上的挑战之一，我不确定这有多脆弱。

据我了解，可以将 URL 的哈希用作输入，并且 URL 的任何更改都会触发该setMessage功能。这个 URL 哈希将是我的有效负载。但是，此有效负载仅用作 jQuery 中的选择器，这是我碰壁的地方。

我对 XSS 比较陌生，所以任何有效载荷都会受到赞赏。一个解释显然是受欢迎的。

此外，任何通过 jQuery 更好地理解 HTML 注入攻击的资源都会很有用。