作者:c肀xc86_441 | 来源:互联网 | 2023-02-01 08:39
有没有在ReactJS中滥用dangerouslySetInnerHTML的例子?
每次我查看它时,只是有人挥手并说"跨站点脚本".
我已经看到危险的SetInnerHTML用于加载带有css加载npm模块的CSS文件:
import {stylesheet, classNames} from '../static/css/styles.css'
而且我正在考虑使用危险的SetInnerHTML来处理导致我的团队麻烦的社交媒体共享按钮的一些脚本标签.
代码示例和解释如何使用XSS攻击页面将受到高度赞赏!
1> Mike Cluck..:
想象一下,如果您的页面上有评论部分,并且有人提交了评论:
你刚刚将它作为内部HTML传递给某个节点.现在,任何点击加载该评论的页面的人都会将其标签锁定.
人们可以做的事情要多得多.例如,复制COOKIE并将其发送到远程服务器.