ここから本文です

javascriptのクロスサイトスクリプティング(XSS)について aリンクを使ったハッ...

tan********さん

2015/6/1923:40:32

javascriptのクロスサイトスクリプティング(XSS)について
aリンクを使ったハッシュタグでXSSを起こすことができますか?

<script type="text/javascript">
window.onload=function() {

var link ='<a href=" javascript:alert(1)">リンク</a>'
document.getElementById("message").innerHTML = link
}
こんな感じのコードで、リンクを踏むとalert(1)を表示することができました。
行いたいのは、
var link ='<a href="http://exsample.xom# javascript:alert(1)">リンク</a>'
という感じで、攻撃者のURL(exsample.com)でalert(1)が表示されるようにしたいです。
わたしのブラウザではこれではできなかった。
どのような感じにしたらよいのでしょうか
ポイントは、aリンクを使うことと、スクリプトタグ<>を使わないことです。
悪用するつもりはなく、セキュリティについて勉強しています

閲覧数:
255
回答数:
2
お礼:
50枚

違反報告

ベストアンサーに選ばれた回答

pol********さん

2015/6/2223:03:16

それをするにはサーバサイドの言語を学ぶ必要がありますね。

PHPとか。

相手のサイトでjavascripptを実行するのには掲示板やブログのコメント欄から投稿します。その際通常<>'"こういうHTMLやjavascriptで特別な意味を持つ記号は無害
かされ&gt;&lt;こんな感じになります。ですから今説明してようなセキュリティー対策をしていないサイトでは任意のjavascriptを実行できますがほとんどのサイトはちゃんとXSS対策をしているのでそれはできないということになります。

この回答は投票によってベストアンサーに選ばれました!

ベストアンサー以外の回答

1〜1件/1件中

odp********さん

2015/6/2018:18:50

WIXSS(ウィクロスサイトスクリプティング)というアニメを見ましょう。

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問は選択されたID/ニックネームのMy知恵袋で確認できます。

不適切な投稿でないことを報告しました。

閉じる