XSS-攻击：当输入值被设置时是否可以执行JS？

Question

我目前测试了我的应用程序对XSS，并想知道是否可以利用下面的例子。

这是我做的：我从服务器获得一个非转义响应，并将其直接设置为输入值。

我知道我应该在服务器上逃脱，但我很好奇，如果这可能被利用。

我已经来到这么远，产生一个语法错误，但无法执行该脚本...

document.getElementById('test').value = '"/><script>alert(1);</script>';

<input id="test" type="text"/>

你可以改变这个例子中，虽然该alert(1);实际执行？

感谢您的帮助。我很好奇:-)

Answer 1

将任何值分配给输入值都不会使其执行。只有分配给像onerror，onmouseover，onfocus等事件处理程序才会执行。

我猜的语法错误是因为</script>打破了你的脚本标记，因此你留下了无效的JavaScript。非常类似于我在这里描述的：http://erlend.oftedal.no/blog/?blogid=91