¿Es posible establecer una variable de javascript a través de la URL?
Este es un ejemplo del código que intento modificar:
<script type="text/javascript">
var x = 0;
</script>
¿Hay alguna forma de modificar esa variable a través de un navegador, por ejemplo, www.somewebsite.com + (algo que cambia la variable 'x') ? / p>
Relacionado con Stack Exchange: enlace
No, esto no es posible sin la vulnerabilidad XSS . Si tal cosa fuera generalmente posible, XSS correría desenfrenadamente y usted podría ejecutar cualquier código arbitrario en cualquier página, lo que sería malo.
Ahora, si el código tuviera un vector de ataque XSS reflejado, o un vector de ataque XSS basado en DOM, la URL podría usarse para entregar una carga útil de JavaScript. Por supuesto, esto solo sería posible si el código del lado del servidor o JavaScript tuviera una vulnerabilidad de seguridad (si su código lo hace posible, entonces debería solucionarlo).
Son posibles ataques similares, sin XSS .
Diga que el código era
<script type="text/javascript">
var x = 0;
// Some processing
x=395;
</script>
Si el atacante desea que el valor de x no se vea afectado por el x=395 , podrían usar el filtro anti-XSS del navegador para filtrar el código.
por ejemplo Al crear un enlace creado para enviar a su víctima:
example.com/page.html?param=x%3d395%3b
El filtro XSS detectará que el valor del parámetro se refleja en la salida ( x=395; ) y bloquea su ejecución.
Por lo tanto, el valor original de x se mantendrá.
Para mitigar esto, configure el filtro XSS del navegador del usuario para bloquear en lugar de filtrar utilizando encabezados de seguridad :
X-XSS-Protection: 1; mode=block
Lea otras preguntas en las etiquetas web-browser html url exploit javascript