我有一项技术,用户可以在其中创建HTML页面。当它们被提交时,我从外部检查页面上的脚本库(<script src=...>(以确保它们是安全的,并且没有<script>标记内容。
我的问题是:[Element].onXXX事件是否可以用于加载/激活跨站点脚本或其他同样糟糕的事情?我昨天试着测试了这个,但我只能得到[Element].onClick来执行1个函数。这足以让潜在的恶意代码钻进去吗?所谓恶意,我指的是网络钓鱼、数据盗窃等,而不是相对无害的弹出警报。
您可以在onXXX属性中放入任意JavaScript代码。它可以包含多个由;分隔的语句。因此,您可以使用执行相当于顶级<script>标签的操作
<body onload="entire contents of script">
...
</body>
例如,那里的脚本可能会创建一个网络钓鱼页面。