【发布时间】:2019-04-20 22:31:59
【问题描述】:
当您在名为“Fortnite”的游戏中发布地图时,它会要求提供名称、描述和可选的 Youtube 视频。我想要做的是将“描述”设置为脚本标签。检查site here 上的描述并编辑为 html 以查看发生的编码,您输入的描述设置为该 island-header-tagline h3 标记
我正在尝试在<h3> 标记上运行<script> 标记。但是,似乎当我尝试将脚本标记注入 h3 标记时,它会 html 对其进行编码(&lt; 到 &lt; 和 &gt; 到 &gt;)。所以它实际上并没有将其识别为 html 标记并且不运行脚本。有谁知道这将如何实现?谢谢。
编辑:这是我想要实现的目标:假设这是输入的位置:<h3>USER INPUT</h3>。我正在尝试做这样的事情<h3></h3><script>alert('test');</script> 但是&lt; 和&gt; 被转义为&lt; 和&gt;
P.S.:我正在学习 XSS(用于非恶意目的)
【问题讨论】:
-
如果您向我们展示您用来尝试实现此目标的代码,将会更加清晰
-
对不起,所以说这是输入的地方:
<h3>USER INPUT</h3>。我正在尝试做这样的事情<h3></h3><script>alert('test');</script>但是 被转义为 <和>编辑:至于脚本如何进入标记,它是一个生成的页面,并且输入在生成时设置为那里。
-
是的,但是你如何注入它?硬编码?或者使用一些服务器端脚本?另外,请通过问题的“编辑”按钮添加额外的代码/信息,而不是通过 cmets。不过,您可以发表评论,让人们知道您已经完成了这项工作
-
"页面是通过程序生成的"什么程序?用什么语言写的?
-
好的,我会尽可能多地解释,当您在名为“Fortnite”的游戏中发布地图时,它会要求提供名称、描述和可选的 Youtube 视频。我想要做的是将“描述”设置为脚本标签。检查网站上的描述 (epicgames.com/fn/1222-0331-8814) 并编辑为 html 以查看发生的编码,您输入的描述设置为
island-header-taglineh3 标记。
标签: javascript html xss