xss从零开始(一)

写在前面

这两天事情比较多,学习了一下scrapy只能简单的爬一下没有登陆模拟的页面,以后再写登陆模拟的接口。一直说要学xss却没怎么起步,就是做过几个题粗略的了解。准备系统的学习xss和html内的构造、CSS的渲染。找到一些大神的学习手册,跟着学习一下

一个简单的demo

输出所输入的内容

demo代码

Html知识补充

id属性

id只能唯一,识别作用

class属性

定义的类可以多次引用

div标签

可定义文档中的分区或节(division/section)。
标签可以把文档分割为独立的、不同的部分。它可以用作严格的组织工具,并且不使用任何格式与其关联。如果用 id 或 class 来标记
,那么该标签的作用会变得更加有效。

div就是一块区域的标签,可以对同一个

元素应用 class 或 id 属性,但是更常见的情况是只应用其中一种。这两者的主要差异是,class 用于元素组(类似的元素,或者可以理解为某一类元素),而 id 用于标识单独的特定的元素。不必为每一个
都加上类或 id。

span标签

自己定义名称的标签,你也可以命名为a标签或者hpdoger标签,标记好id就行

Input标签

输入标签,定义class可以选择demo,type规定输入类型,记得标记id

button标签

字如其名,按钮作用

document.querySelector

获取文档中 id=”demo” 的元素:

document.querySelector("#demo");

innerHTML

innerHTML 属性设置或返回表格行的开始和结束标签之间的 HTML。

这里就是在span标签之间插入value

xss测试

我们插一个Script看是否会弹框

没有弹框,看一下script的位置,原因如下:

w3c规范innerHTML这个api插入的script标签不会被执行

not found!