我基本上希望<meta>标记能够立即触发javascript事件,但onload =似乎无效。
我的下一次尝试涉及自动对焦/ onfocus,但这也无效。
是否有任何可以与meta标签一起使用的事件处理程序来执行我尝试做的事情?
编辑:更多信息。
我是一名网络应用程序。我在客户的网页上发现了一个持久的XSS,并希望为他们制作一个可行的PoC来向他们展示危险。标签如下例所示:
&lt; meta content =&#34; INJECTIONgarbage字符&#34;&gt;
&GT;已经消毒了,因此打破meta标签是不可能的。 &#34;没有消毒,这是漏洞。
我可以通过以下方式向他们展示危险:
0&#34; http-equiv =刷新b =&#34;
不断刷新页面,看起来更像是一个可爱的客厅技巧,而不是真正的威胁载体。
由于30个字符的限制,我无法有意义地重定向到外部网站。我能做的最好的就是5个字符。
如果onload工作,我可以做类似的事情:
&#34; onload = alert()b =&#34;
(元标记看起来像):&lt; meta content onload = alert()b =&#34;垃圾&#34;&gt;
这将允许我演示一个更严重的威胁向量,因为我可以在那时包含任意JS来为自己购买更多空间(因此,为BeEF提供一个钩子)。
即使我不能包含任意的JS,我仍然会向他们展示它,但我觉得如果我甚至不能展示JS,我的报告就更有可能被认为是不重要的执行,这是一个持久性 XSS,所以我希望它得到认真对待。
答案 0 :(得分:0)
使用带有元标记的onload触发器是不可能的。
与onload功能兼容的标签包括following:
<body>, <frame>, <iframe>, <img>, <input type="image">, <link>, <script>, <style>