Hpdoger's Blog.

xss从零开始(一)

Word count: 499 / Reading time: 2 min
2018/08/01 Share

写在前面

这两天事情比较多,学习了一下scrapy只能简单的爬一下没有登陆模拟的页面,以后再写登陆模拟的接口。一直说要学xss却没怎么起步,就是做过几个题粗略的了解。准备系统的学习xss和html内的构造、CSS的渲染。找到一些大神的学习手册,跟着学习一下

一个简单的demo

输出所输入的内容

demo代码

Html知识补充

id属性

id只能唯一,识别作用

class属性

定义的类可以多次引用

div标签

可定义文档中的分区或节(division/section)。

标签可以把文档分割为独立的、不同的部分。它可以用作严格的组织工具,并且不使用任何格式与其关联。如果用 id 或 class 来标记
,那么该标签的作用会变得更加有效。

div就是一块区域的标签,可以对同一个

元素应用 class 或 id 属性,但是更常见的情况是只应用其中一种。这两者的主要差异是,class 用于元素组(类似的元素,或者可以理解为某一类元素),而 id 用于标识单独的特定的元素。不必为每一个
都加上类或 id。

span标签

自己定义名称的标签,你也可以命名为a标签或者hpdoger标签,标记好id就行

Input标签

输入标签,定义class可以选择demo,type规定输入类型,记得标记id

button标签

字如其名,按钮作用

document.querySelector

获取文档中 id=”demo” 的元素:

1
document.querySelector("#demo");

innerHTML

innerHTML 属性设置或返回表格行的开始和结束标签之间的 HTML。

这里就是在span标签之间插入value

xss测试

我们插一个Script看是否会弹框

没有弹框,看一下script的位置,原因如下:

w3c规范innerHTML这个api插入的script标签不会被执行

CATALOG
  1. 1. 写在前面
  2. 2. 一个简单的demo
  3. 3. Html知识补充
    1. 3.1. id属性
    2. 3.2. class属性
    3. 3.3. div标签
    4. 3.4. span标签
    5. 3.5. Input标签
    6. 3.6. button标签
    7. 3.7. document.querySelector
    8. 3.8. innerHTML
  4. 4. xss测试