什么是它的JavaScript可以放置在比其他HTML页面的方式:在身体或头标记如何通过这些方法插入javascript?
<script> </script>
标签或从外部文件加载。- 的onEvent触发
<a href="javascript:code goes here;"></a>
<form action="javascript:code goes here;"></form>
什么是它的JavaScript可以放置在比其他HTML页面的方式:在身体或头标记如何通过这些方法插入javascript?
<script> </script>
标签或从外部文件加载。<a href="javascript:code goes here;"></a>
<form action="javascript:code goes here;"></form>
javascript:
的URI,表示诚挚的URI(例如IMG SRC)expression
在CSS的IE不要黑色其他属性列表,请确保您使用白名单。事情变了。请记住,可以用HTML实体替换字符。解析HTML,将其通过白名单过滤器,然后将其序列化回HTML。
我不相信有更多的选择 - 否则它会很容易找到安全漏洞(XSS)。
有没有你想要做的特定事情?或只是好奇?
见Javascript语言,CSS
本质上讲,你也可以注入的JavaScript无论url()
是:
body { background: url(javascript: code goes here); }
图片脚本注射(过时的浏览器)
<img src="javascript:code goes here" />
<input type"image" src="javascript:code goes here" />
更可通过XSS技术来发现:XSS Cheat Sheet
为什么? .......... – 2011-02-03 07:50:27
是的,没有解释你为什么想知道真的会引起怀疑。 – harpo 2011-02-03 07:52:07
怀疑究竟是什么?我需要从HTML代码样本中去除所有的JavaScript。 – rsman 2011-02-03 07:52:54