script 标签注入
检查用户输入被直接作为 HTML 文档解析时,script 标签是否会执行。
HTML payload 测试
该场景测试用户输入在 HTML/DOM 中的渲染方式,而非 iframe sandbox 行为。
- 确认输入是被转义为文本,还是被解析成真实 script 标签
- 确认 HTML 过滤器是否移除 script 标签和危险属性
- 确认 CSP script-src 是否阻止 inline script 执行
Payload
要复制的 payload
用于检查原始输入是否直接反射到 HTML 文档中的基础 payload。
预览
此预览为了学习目的故意执行 unsafe rendering。真实服务中,该 payload 应被转义为文本或移除。
日志
// 无日志
说明
- 如果服务器把用户输入直接反射进 HTML 文档,
<script>标签会被解析并执行。 - 相反,后来通过
innerHTML插入的 script 标签在现代浏览器中通常不会执行,因此本页面用隔离的完整文档预览来复现解析过程。 - 防护需要结合上下文感知的输出编码、可信 HTML 过滤器和 CSP
script-src来验证。