Задать вопрос
@zlodiak
javascript

Почему не срабатывает xss?

Я написал два варианта одного и того же кода. Суть в том, что пользователь вводит в поле типа input вредоносный код:
<script>alert('xss attack')</script>

В результате jquery-код выполняет команду alert. А nativeJS-код не выполняет.

LIVE DEMO

Помогите пожалуйста сделать так чтобы nativeJS-код тоже выполнял команду alert. Не обязательно использовать innerHTML.

Я пробовал вместо innerHTML использовать createElement/createTextNode , но тоже не получилось. Хотя jquery-метод использует именно их, судя по исходникам
  • Вопрос задан
  • 130 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
Psixodelik
@Psixodelik
Преподаватель на Hexlet
Script elements inserted using innerHTML do not execute when they are inserted.


Стандарт

Хз, как там внутри всё это делает jQuery, но видимо обрабатывают по своему. При этом всё равно можно использовать XSS, только не так явно.

Например, вот это сработает <img src='x' onerror='alert(1)'>
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript разработчик
SummerWeb Ярославль
от 100 000 до 140 000 ₽
JavaScript разработчик
вАйТи
от 5 000 до 25 000 ₽
JavaScript Fullstack
OnClass
от 200 000 до 600 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Настроить и запустить email кампанию на Gmail
25 апр. 2024, в 17:54
30000 руб./за проект
Разработать программу для сбора Bitcoin кошельков ( только адреса )
25 апр. 2024, в 17:53
100000 руб./за проект
Сделать простецкого тг бота для подсчёта зп
25 апр. 2024, в 17:50
2000 руб./за проект
Ещё заказы