Задать вопрос
@zlodiak
javascript

Почему не срабатывает xss?

Я написал два варианта одного и того же кода. Суть в том, что пользователь вводит в поле типа input вредоносный код:
<script>alert('xss attack')</script>

В результате jquery-код выполняет команду alert. А nativeJS-код не выполняет.

LIVE DEMO

Помогите пожалуйста сделать так чтобы nativeJS-код тоже выполнял команду alert. Не обязательно использовать innerHTML.

Я пробовал вместо innerHTML использовать createElement/createTextNode , но тоже не получилось. Хотя jquery-метод использует именно их, судя по исходникам
  • Вопрос задан
  • 138 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
Psixodelik
@Psixodelik
Преподаватель на Hexlet
Script elements inserted using innerHTML do not execute when they are inserted.


Стандарт

Хз, как там внутри всё это делает jQuery, но видимо обрабатывают по своему. При этом всё равно можно использовать XSS, только не так явно.

Например, вот это сработает <img src='x' onerror='alert(1)'>
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Fullstack-разработчик PHP/JavaScript
LegalIndonesia
от 3 000 до 3 000 $
Бэкэнд-разработчик JavaScript
Wanted. Москва
от 250 000 до 400 000 ₽
JavaScript Fullstack
OnClass
от 2 000 до 7 000 $
Ещё вакансии
Заказы с Хабр Фриланса
Необходим парсер
05 янв. 2025, в 07:48
2000 руб./за проект
Нарисовать макет сайта
05 янв. 2025, в 06:24
15000 руб./за проект
Разработать бекенд
05 янв. 2025, в 06:22
15000 руб./за проект
Ещё заказы