前端安全：know it then hack it

一、html可以执行javascript的地方有哪些？
先举个例子 比如这个代码

变量$a可控，怎么让这个代码弹框（执行javascript代码）呢？
（1）属性值引入javascript:[code]伪协议。来执行javascript代码。也就是$a=javascript:alert(1)
只有引用文件的属性才能触发javascript脚本,这些标签有:

• href
• action
• bgsound
• background
• value
• dynsrc
• lowsrc。

由于这些属性值不是通用属性，所以会在不同的标签中，如果在火狐上测试不成功请在ie下测试，我用ie6测试是成功的。
（2）“闭合前一个属性值，引入事件驱动属性。事件驱动属性的值是javascript代码，所以可以执行javascript。事件驱动属性是标签的通用属性，所以所有标签都可以用。也就是

• ondblclick
• onmousedown
• onmouseup
• onmouseover
• onmousemove
• onmouseout
• onmousepress
• onmousedown
• onmouseup

（3）闭合标签，引入<script></scirpt>标签来执行javascript代码。也就是：

（4）CSS可以通过expression属性执行javascript代码
expression是ie独有的css属性，其目的是为了插入一段javascript代码。

在ie6下执行成功。

可以从外部导入存在xss代码的css样式。
如果css属性可控，除了可以在expression后面添加javascript代码执行外，还可以像（2）（3）一样通过闭合标签和属性值来达到执行javascript的目的。
乌云上的案例： http://www.wooyun.org/tags/css%E … 5%AF%BC%E8%87%B4xss
综上，可以在html里执行javascript的地方有
1、利用 javascript:在属性值里 2、事件驱动属性 3、<script></script>标签中 （包括这种形式<script src=” http://www.91ri.org/%201.js”></script>）4、CSS中的expression属性中（仅IE）。

二、为什么编码后的代码仍然可以执行？
（1）上面的$a是没被过滤的，但假如被过滤了怎么办，假如只是黑名单过滤了javascript，或者只是对$a进行了htmlspecialchars()转换。 执行javascript的地方只进行了html编码。
<a href=”$a”>f4ck</a>
$a的 值

$a的值

$a的值:

以上为html的三种编码。提交后，可以绕过黑名单javascript，进行htmlspecialchars()编码是不会发生任何变化的，那么，这段代码为什么会执行？
因为这个代码，浏览器从头解析当解析到，$a的值时，正常将它解码，就变成 javascript:alert(1)，然后这个代码在href属性中，所以就执行了。

三、怎么远程加载外部js？
先来说说html标记，html标记其实可以分为两种
1、文本用闭合标签。
例：<h1>f4ck</h1>
2、引用内容用自闭合标签。
例：<img src=”http://www.91ri.org/ img/bdlogo.gif” />
浏览器会在html页面加载时，额外向服务器发送请求，注：这里是html标签的特性，不要和同源策略相混淆，同源策略是用来限制浏览器的。
加载进来的js和本域是同源的。

哪些标签可以远程加载外部js，并执行呢？
1、

2、

3、

其实3就是dom的方法创建和插入节点。

直接用3用于

后记：后面写的有点乱，可能有错误的，欢迎提出。

相关文章推荐《android实现远程定位追踪(UC+XSS)》《XSS之分布式破解》

[via@ack]