这是否符合文件名上传DOM的资格？

Question

应用程序具有以下javascript代码，每当用户试图上载文件时都会触发该代码。

a.html(fileName)

然后，如果用户上传名为<img src=x onerror=alert()>的文件，则执行javascript代码。

这是否符合低严重性DOM-XSS的条件？我的意思是，我通常会看到DOM利用URL为攻击提供了更多的力量。在这种情况下，我应该欺骗用户上传一个具有特定名称的文件，因此它就像一个自xss。而且，我也找不到这类DOM的cve。

Answer 1

在我看来，是的，这是一个低到非常低严重的XSS例子。不安全地呈现用户控制的输入。

事实上，这需要用户上传巧尽心思构建的文件，这降低了滥用的可能性，而不是影响。

人是网络安全中最薄弱的环节。他们可以被骗到上传任何文件。