-
Notifications
You must be signed in to change notification settings - Fork 0
/
dom_base_xss.html
46 lines (44 loc) · 1.53 KB
/
dom_base_xss.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Vulnerable XSS Example</title>
<script>
// 追加
function escapeHtml(unsafe) {
return unsafe
.replace(/&/g, "&")
.replace(/</g, "<")
.replace(/>/g, ">")
.replace(/"/g, """)
.replace(/'/g, "'");
}
/**
* XSSを試すためにフォームに入力された文字列をそのまま出力する
*/
document.addEventListener("DOMContentLoaded", function() {
const form = document.querySelector("form");
form.addEventListener("submit", function(event) {
event.preventDefault(); // NOTE: formがsubmitされないようにすることで折返しの文字列がすぐに消えないようにする
// Formのinput要素から値を取得する
const input = document.getElementById("input").value;
// 折り返す
const output = document.getElementById("output");
// output.innerHTML = "Hello, " + escapeHtml(input) + "!"; // XSS修正
output.innerHTML = "Hello, " + input + "!";
});
});
</script>
</head>
<body>
<h1>Vulnerable XSS Example</h1>
<form action="" method="GET">
<label for="input">Enter your name:</label>
<input type="text" id="input" name="name">
<button type="submit">Submit</button>
</form>
<div id="output">
</div>
</body>
</html>