【xss漏洞-svg标签】详解svg标签+触发XSS

【xss漏洞-svg标签】详解svg标签+触发XSS 2023-07-25 588

一、理论知识

代码中的SVG标签和onload事件本身并不依赖于其他特定的标签来触发弹窗。无论它们被放置在哪个标签内，只要浏览器解析并加载了这个SVG标签，onload事件就会被触发。

注：SVG标签通常是在HTML文档中嵌入使用的，并且可以放置在许多不同的HTML标签内。具体取决于网页的结构和用途。以下是一些常见的情况：

<body>标签：

SVG标签可以直接放置在<body>标签内，这样当整个页面加载完毕时，onload事件将触发。

<body>
  <svg onload="alert(document.domain)">
    <!-- SVG内容 -->
  </svg>
</body>

<div>标签：

SVG标签可以作为<div>标签的子元素，当该<div>标签加载完成时，onload事件将触发。

<div>
  <svg onload="alert(document.domain)">
    <!-- SVG内容 -->
  </svg>
</div>

<img>标签：

SVG标签也可以作为<img>标签的src属性值，当图像加载完成时，onload事件将触发。

<img src="data:image/svg+xml,<svg onload=alert(document.domain)>">

文章来自:IT技术分享网
分享地址:http://www.5ityx.cn/cate100/369004.html

下一篇： Maven解决jar包版本冲突的4种方法