var positions = pos? document.getElementsByTagName('head')[0] :document.getElementsByTagName('body')[0]
var script = document.createElement('script')
script.type = 'text/javascript'
if (type === 'url') {
script.src = result
} else {
script.innerHTML = result
}
positions.appendChild(script)
}
let scriptCode = `
function fns(){
alert("原生js动态注入脚本内容")
}
fns()
createScript(scriptCode)
Javascript注入攻击指的是通过在网页地址后加JavaScript代码,影响系统运作。JavaScript注入漏洞能发生作用主要依赖两个关键的动作,一个是用户要能从界面中注入JavaScript到系统的内存或者后台存储系统中;二是系统中存在一些UI会展示用户注入的数据。
比如注入漏洞最常见的就是发生在各种类型的名字中,比如系统中的人名等等,因为名字往往会在各种系统上显示,如果在某个用户输入名字的时候注入了脚本,那么受其影响的各个系统都有发生注入漏洞的风险。
JavaScript注入就是在浏览器地址栏中输入一段js代码,用来改变页面js变量、页面标签的内容。使用Javascript注入,用户不需要关闭或保存网页就可以改变其内容,这是在浏览器的地址栏上完成的。命令的语法如下:
javascript:alert(#command#)
