DOM XSS 利用 Web 消息与 JavaScript URL 漏洞剖析

qife122

01-10

本文详细解析了PortSwigger实验中的一个DOM XSS漏洞，该漏洞源于网页对postMessage事件处理不当，将接收数据直接注入innerHTML且未验证来源或清理内容，通过利用iframe发送包含恶意img标签和onerror处理程序的消息，成功触发JavaScript执行。