Как делают XSS через адрес изображения?

Question

Антон Шульц @MrAnderson1999

Секси

JavaScript

Как делают XSS через адрес изображения?

В видео о защите от XSS был пример с названием изображения, что если его назвать javascript:alert(),
то при загрузке сайта из бд он выдаст src="javascript:alert()" и сработает js вместо картинки.

Почему у меня этот пример не работает?
Просто пишу в html коде сразу

<img src="javascript:alert('helloworld')">

и ничего не происходит

Вопрос задан более трёх лет назад
622 просмотра

3 комментария

Подписаться 2 Простой 3 комментария

Решения вопроса 1

Комментировать

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

Простой
Как поставить лайк на все комментарии видео в тикток?
- 1 подписчик
- 3 часа назад
- 92 просмотра
2

ответа
JavaScript

Простой
Как нажать на все блоки с данным классом на странице с помощью JS?
- 1 подписчик
- 4 часа назад
- 78 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Как повторить такую же анимацию?
- 2 подписчика
- 5 часов назад
- 208 просмотров
1

ответ
JavaScript

+1 ещё

Средний
Как задать img источник из svg inline?
- 1 подписчик
- 5 часов назад
- 87 просмотров
1

ответ
JavaScript

+2 ещё

Простой
Смена стилей шапки сайта при скролле к определенному блоку? Стили должны применяться при скролле до блока и отменяться за его пределами?
- 1 подписчик
- 6 часов назад
- 46 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Как сформировать маску, используя регулярное выражение?
- 1 подписчик
- 7 часов назад
- 72 просмотра
2

ответа
JavaScript

+1 ещё

Средний
При создании PWA ошибка Cannot read properties of null (reading 'prompt'), в чем проблема?
- 1 подписчик
- 10 часов назад
- 33 просмотра
0

ответов
JavaScript

+1 ещё

Средний
Как сделать так, чтобы клик по object передавался родителю?
- 1 подписчик
- 10 часов назад
- 96 просмотров
2

ответа
JavaScript

+1 ещё

Средний
Как сделать программную навигацию без изменения url в vue-router + vue3?
- 1 подписчик
- 21 час назад
- 42 просмотра
0

ответов
JavaScript

+2 ещё

Простой
Как скачать pdf из встроенного просмотрщика на сайте?
- 1 подписчик
- вчера
- 142 просмотра
1

ответ
Показать ещё Загружается…

JavaScript разработчик

SummerWeb • Ярославль

от 100 000 до 140 000 ₽

JavaScript разработчик

вАйТи

от 5 000 до 25 000 ₽

JavaScript Fullstack

OnClass

от 200 000 до 600 000 ₽

Разработка дизайна для мобильного приложения

25 апр. 2024, в 18:47

2795100 руб./за проект

Ищем программиста для поддержки сайта на PHP Laravel/Symfony

25 апр. 2024, в 18:36

10000 руб./за проект

Доработка мобильного приложения React Native iOS/Android

25 апр. 2024, в 18:32

50000 руб./за проект

Можешь назвать " onerror="alert('helloworld')", если защиты нет.
Aetae, а откдуда вообще может возникнуть onerror в картинке и тем более ещё старонний скрипт?
просто такой пример тоже озвучивали.
но всё ровно не работает

Answer 1 · 2020-02-04 11:56:25

Браузеры очень давно пофиксили эту уязвимость. Если необходимо воспроизвести - пользуйтесь IE 6 или аналогичным.

Как делают XSS через адрес изображения?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт