在带有文本输入的eventhandler中是否有触发javascript的方法

我最近一直在研究XSS，我发现了一个例子

<input type="text" name="s" id="s" value="foo" onblur="this.value"  x-webkit-speech/>

---

因此，我想知道是否可以输入类似alert1的内容，使onblur处理程序触发javascript。有可能吗？

是的。在javascript中，这是指当前元素。因为input onblur事件引用元素的值，所以输入将运行您在其中输入的任何内容。然而，除非这可以通过url反映出来，否则这是没有用的

因此，我想知道是否可以输入类似alert1的内容来制作onblur 处理器触发javascript..可能吗

不，这是不可能的，您需要计算您在输入框中输入的代码以执行它，因为它被视为字符串而不是代码

你需要做以下的事情，你永远不应该需要或想要做

---

在哪里输入？你看到我在问题中输入的html代码了吗？是的。你怎么能把东西注射进去？您可以操作哪一部分，操作到什么程度？抱歉，为了简单起见，我只是更改了代码，基本上我的意思是，您可以在窗口中输入类似javascript的警报来触发onblur事件。不，onblur=this.value没有意义，但不是您可以利用的弱点。当它运行时，它只是将属性求值为字符串并将其丢弃。另外，你不能注入输入值，所以你只能攻击你自己。你提交的一个旧问题的答案把它搞砸了，让我也意外地回答了它。哈哈，好吧。。