Inyectando javascript en una alerta

Question

Inyectando javascript en una alerta

#1 de Arminius (1 votos)

0

Tengo una función como esta donde json es un objeto json que está en esta forma err : someNumber , y quiero inyectar javascript en esa alerta para que tal vez pueda inyectar ajax allí o algo más, ¿cómo podría hacerlo? (Si es posible)

function imageShow(json) {
if (json && 'err' in json && json.err != "" && json.err != "200" && json.err != "OK")
    {
        alert (json.err);
    }
}

Por ejemplo:

deja que json.err sea { "err" : "<script> alert(\"Hey\");</script> } . y luego podría usar esa alerta dentro de la alerta.

Si no, tengo esta misma función con esto Los mismos datos json y el mismo todo, pero en lugar de alertar, cambia el origen de una imagen al json.err : ¿Podría inyectar algo en esto?

function imageShow(json) {

if (json && 'err' in json && json.err != "" && json.err != "200" && json.err != "OK")
    {
        $("#img")[0].src = json.err;
    }

}

javascript injection

pregunta Guysudai1 21.04.2018 - 17:25

fuente

1 respuesta

Lea otras preguntas en las etiquetas javascript injection

¿Por qué no cifrar el protocolo de enlace TLS? Seguridad en las contraseñas almacenadas por Firefox, contra complementos

score 1 · Accepted Answer

El mensaje en un cuadro alert() siempre se muestra como texto sin formato. No puedes insertar código aquí.
Establecer el src de una imagen en un valor controlado por el usuario no puede llevar a XSS, pero algunas otras vulnerabilidades menos graves como se explica en este hilo .