javascriptのクロスサイトスクリプティング(XSS)について aリンクを使ったハッシュタグでXSSを起こすことができますか?

javascriptのクロスサイトスクリプティング(XSS)について aリンクを使ったハッシュタグでXSSを起こすことができますか? <script type="text/javascript"> window.onload=function() { var link ='<a href=" javascript:alert(1)">リンク</a>' document.getElementById("message").innerHTML = link } こんな感じのコードで、リンクを踏むとalert(1)を表示することができました。 行いたいのは、 var link ='<a href="http://exsample.xom# javascript:alert(1)">リンク</a>' という感じで、攻撃者のURL(exsample.com)でalert(1)が表示されるようにしたいです。 わたしのブラウザではこれではできなかった。 どのような感じにしたらよいのでしょうか ポイントは、aリンクを使うことと、スクリプトタグ<>を使わないことです。 悪用するつもりはなく、セキュリティについて勉強しています

JavaScript255閲覧xmlns="http://www.w3.org/2000/svg">50

ベストアンサー

このベストアンサーは投票で選ばれました

0

それをするにはサーバサイドの言語を学ぶ必要がありますね。 PHPとか。 相手のサイトでjavascripptを実行するのには掲示板やブログのコメント欄から投稿します。その際通常<>'"こういうHTMLやjavascriptで特別な意味を持つ記号は無害 かされ&gt;&lt;こんな感じになります。ですから今説明してようなセキュリティー対策をしていないサイトでは任意のjavascriptを実行できますがほとんどのサイトはちゃんとXSS対策をしているのでそれはできないということになります。

その他の回答(1件)

0

WIXSS(ウィクロスサイトスクリプティング)というアニメを見ましょう。