XSS攻击是怎么做到的?

唐伯虎点蚊香
  • 387

我看XSS攻击的时候,是把"<script>alert('我是XSS')</script>"这种代码输出到页面上,然后就会执行。

但为啥我js里用innerHTML或者innertext往DOM里填这段代码,填不进去会报错呢?

但是直接标签里写死这段代码却可以执行。

回复
阅读 1.8k
3 个回答

innerText 肯定不行。innerHTML 要看你怎么用了,而且不是所有网站都能注入。

宣传栏