我正在测试一个网站,我在img中找到了当找不到src时,onerror使用了另一个图像。如果我通过警报检查和更改错误它完全有效。这个潜在的XSS漏洞吗?
用户在自己的浏览器中编辑DOM的能力不是XSS漏洞(尽管它可能是网络钓鱼攻击的载体)。
onerror与任何具有被视为JavaScript的值的属性一样,如果攻击者可以将内容注入其中(或者将内容作为将内容注入HTML文档的一部分创建属性),则可以将其用作XSS攻击的一部分。
onerror