Inyectando javascript en una alerta

0

Tengo una función como esta donde json es un objeto json que está en esta forma err : someNumber , y quiero inyectar javascript en esa alerta para que tal vez pueda inyectar ajax allí o algo más, ¿cómo podría hacerlo? (Si es posible)

function imageShow(json) {
if (json && 'err' in json && json.err != "" && json.err != "200" && json.err != "OK")
    {
        alert (json.err);
    }
}

Por ejemplo:

deja que json.err sea { "err" : "<script> alert(\"Hey\");</script> } . y luego podría usar esa alerta dentro de la alerta.

Si no, tengo esta misma función con esto Los mismos datos json y el mismo todo, pero en lugar de alertar, cambia el origen de una imagen al json.err : ¿Podría inyectar algo en esto?

function imageShow(json) {

if (json && 'err' in json && json.err != "" && json.err != "200" && json.err != "OK")
    {
        $("#img")[0].src = json.err;
    }

}
    
pregunta Guysudai1 21.04.2018 - 17:25
fuente

1 respuesta

1
  • El mensaje en un cuadro alert() siempre se muestra como texto sin formato. No puedes insertar código aquí.

  • Establecer el src de una imagen en un valor controlado por el usuario no puede llevar a XSS, pero algunas otras vulnerabilidades menos graves como se explica en este hilo .

respondido por el Arminius 21.04.2018 - 17:29
fuente

Lea otras preguntas en las etiquetas