关于js注入的一点小实验

闲来无事突然想玩玩js注入了，以下是一点小实验，有兴趣的朋友可以试试。话说一般浏览器保存账户和密码然后自动登陆的原理是不是这个，还请大神指教(●‘‘●)。

新建一个txt文本，命名为”test1“，把以下代码复制进去，然后把文件后缀名改为“html”。

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title></title>
</head>
<body>
<form action="HTMLPage1.htm" id="form1" name="form1"">
<input id="Text1" type="text" />
<input id="Text2" type="text" />
<input id="Button1" type="button" value="button" />
</form>
</body>

</html>

双击test1，然后在地址栏中输入以下js。

javascript:alert(document.form1.Text1.value="12313");
javascript:alert(document.form1.Text2.value="12313");
javascript:alert(document.form1.submit());

但是浏览器会自动屏蔽“javascript”，所以，可以复制以下js，然后去除”j2avascript“中的“2”

j2avascript:alert(document.form1.Text1.value="12313");

j2avascript:alert(document.form1.Text2.value="12313");

j2avascript:alert(document.form1.submit());

然后敲回车，就可以看到效果了。

简单解释一下，利用可以在本机上修改网页上的任何内容。

javascript:alert(XXXXX）;

意思是从表单form1中获得名为Text1的文本框，然后赋值“12313”。

javascript:alert(document.form1.Text1.value="12313");

意思是提交表单form1。

javascript:alert(document.form1.submit());

时间： 2024-10-10 12:35:23

关于js注入的一点小实验的相关文章

ASP.NET MVC Autofac依赖注入的一点小心得(包含特性注入)

前言 IOC的重要性大家都清楚..便利也都知道..新的ASP.NET Core也大量使用了这种手法.. 一直憋着没写ASP.NET Core的文章..还是怕误导大家.. 今天这篇也不是讲Core的前面写了C#开发移动应用系列就第一篇和最后一篇上了最多推荐 - - 也许大家确实不看好吧.. 算了..废话不多说.开始今天的东西吧.. 本篇文章不讲为何我们要用IOC..只讲Autofac使用中的一些小心得正文 1.基本注入首先我们要构造一个容器,代码如下: //第一步: 构造一个Auto

js调试的一点小知识

1.如果想要js代码被XHTML和HTML解析,就可以使用如下方式 <script type="text/javascript"> //<![CDATA[ function(){ …… } //]]> </script> 2.在调试器中可以通过callStack看到函数执行的过程. 3.控制台比较有用的函数 console.log():输出日志 console.trace():堆栈函数,可以查看指定函数的调用关系 clear():清除控制台中的log

关于JS作用域的一点小问题

var fauxConstant = "123"; function badFunction() { fauxConstant = "456"; } function goodFunction() { var fauxConstant = "456"; } function testIt() { alert(fauxConstant);//123 goodFunction(); alert(fauxConstant);//123 badFunct

discuz 7.2 faq.php sql注入的一点研究

6.2号(可能更早)看到网上这个exp,是一个discuz 7.2的sql注射漏洞经过多番考证,网上多数exp中都存在这些或者那些的问题,我自己利用和修改后总结,利用方法如下: Discuz 7.2 /faq.php SQL注入漏洞 1.获取数据库版本信息 faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(version(),floor(r

新闻发布的一点小总结

经过一段时间的学习,完成了新闻发布的基础功能,进行一点小总结,方便日后回顾.下面是我的一点小总结,不足之处请勿见笑... 我们想要完成一个新闻发布,首先要使其能够成功发布,并且让它能够实现添加.删除.修改.查询.上传.下载等功能.我们还调用AJAX功能查看输出为XML.JSON格式的新闻内容.为完成以上功能,我们首先要进行jdk.tomcat.eclipse的安装和配置.1.各软件的安装和配置1.1.jdk的安装和配置: 1.1.1.下载jdk:下载地址:http://www.oracle.co

留言本小实验

实验目的: 利用PHP实现发布留言,并存在txt文本文件中,还可以从文本文件中读取留言,并显示在网页上. 实验代码: 先要用个表单提交留言,写一个简单的html如下: 1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 2 <html xmlns="http://www

给Javascript初学者的一点小建议

本文来自e良师益友网一般初学JavaScript的时候最头痛的就是浏览器兼容问题.在Firefox下面好好的代码放到IE就不能显示了,又或者是在IE能正常显示的代码在firefox又报错了. 如果你正初学JavaScript并有着一样的处境的话建议你:初学JavaScript的时候无视DOM和BOM的兼容性,将更多的时间花在了解语言本身(ECMAScript).只在特定浏览器编写代码(Chrome/Firefox/Safari),实际工作中使用成熟的 JavaScript框架(jQuery等

ES6小实验-let和const（2）

继续小实验,上次写到块级作用域,那么为什么需要块级作用域呢?书中给了两个场景: 1.没有块级作用域,内层变量可能会覆盖外层变量.举例: var tmp = new Date() function f() { console.log(tmp) if(false) { var tmp = "hello world" } } f();//undefined 内层的tmp变量把外层的tmp变量覆盖,所以输出结果为undefined 2.用来计数的循环变量泄露为全局变量,举例: var s =

在ASP.NET使用javascript的一点小技巧

我们在进行ASP.NET开发时,经常会用到一些javascript脚本,比如: private void Button1_Click(object sender, System.EventArgs e) { Response.Write( "<script language='javascript'>alert('OK');</script>") ; } 经常是重复的书写这些脚本,如果我们能做成一个相应的函数就好了,直接就可以拿来使用.很多人都有自己的一些jav