Возможно ли составить строку XSS после HTML Entity? - PullRequest
0 голосов
/ 19 февраля 2020

Я использую этот NPM пакет с именем xss

Мой пример кода такой:

const xss = require("xss");

const userGeneratedCode =
  '<img src="notValidUrl" onerror=alert(document.cookie)>';

const XssProcessor = new xss.FilterXSS({
  whiteList: {
    a: ["href", "title", "target"]
  }
});

const processedString = XssProcessor.process(userGeneratedCode);
// => &lt;img src="notValidUrl" onerror=alert(document.cookie)&gt;

document.querySelector("#app").innerHTML = processedString;

В выходных данных отображается именно строка

<img src="notValidUrl" onerror=alert(document.cookie)>

Можно ли составить переменную userGeneratedCode, чтобы пройти выше XssProcessor и, наконец, стать опасной строкой?

enter image description here

Edit XSS StackOverflow

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...