У меня есть форма регистрации с одинаковыми регулярными данными с кнопкой «отправить», чтобы заполнить, чтобы зарегистрироваться в системе. Я пытался вставлять скрипты в текстовые поля, но они защищены. Теперь я хочу добавить скрипт на ярлыки, чтобы всякий раз, когда кто-то открывает эту страницу, мой инъецируемый скрипт на ярлык выполняется.Как добавить JavaScript в HTML-метку?
Если вы хотите вставить javascript в HTML-тег или страницу, это означает, что веб-сайт/веб-страница/код уязвим для HTML-инъекций в условиях безопасности. Возможные коды, которые можно ввести в текстовое поле являются
1) ><script>alert(1)</script><!--
2) '><script>alert(1)</script><!--
3) "><script>alert(1)</script><!--
Что вышеуказанные команды делают близки любой "или" если они открыты и впрыснуть Javascript код в него и закомментировать оставшуюся часть кода. Таким образом, запускается на выполнение Javascript и все другое содержание после этого не получает казнены.
один другой передовой техники для HTML инъекций http://target.com/?user=<img src='aaa' onerror=alert(1)>
Вышеупомянутая команда просто ищет изображение с именем «aaa», и если оно не найдено, оно вводит или выполняет функцию javascript onerror, приводящую к вложению HTML-инъекций.
Это совсем не безопасно. Как предотвратить себя от такого рода нападений?
Кодирование < и > символов от < и >, которые отвечают за выполнение скриптов в коде т.е. они несут ответственность за выполнение JavaScript.
1) code = code.replace(/</g, "<").replace(/>/g, ">");
2) Вы можете использовать функцию jquery под названием ParseHTML.
3) Вы также можете использовать функцию htmlspecialchars, чтобы избежать этих типов атак.
Надеюсь, это вам поможет.