Iniezione javascript in un avviso

0

Ho una funzione come questa in cui json è un oggetto json che si trova in questo modulo err : someNumber , e voglio inserire javascript in quell'avviso in modo che forse potrei iniettare ajax lì o qualcos'altro, come farei per farlo? (Se è anche possibile)

function imageShow(json) {
if (json && 'err' in json && json.err != "" && json.err != "200" && json.err != "OK")
    {
        alert (json.err);
    }
}

Ad esempio:

lascia che json.err sia { "err" : "<script> alert(\"Hey\");</script> } . e quindi potrei usare quell'avviso all'interno dell'allerta.

In caso contrario, ho questa stessa funzione con questo Gli stessi dati JSON e lo stesso tutto, ma invece di avvisare, cambia l'origine di una immagine in json.err : Posso iniettare qualcosa in questo?

function imageShow(json) {

if (json && 'err' in json && json.err != "" && json.err != "200" && json.err != "OK")
    {
        $("#img")[0].src = json.err;
    }

}
    
posta Guysudai1 21.04.2018 - 17:25
fonte

1 risposta

1
  • Il messaggio in una casella alert() viene sempre visualizzato come testo normale. Non puoi inserire codice qui.

  • L'impostazione di src di un'immagine su un valore controllato dall'utente non può portare a XSS, ma ad alcune altre vulnerabilità meno gravi, come spiegato in questa discussione .

risposta data 21.04.2018 - 17:29
fonte

Leggi altre domande sui tag