这可能是Javascript中的XSS漏洞吗

我正在研究一些遗留应用程序，想知道这是否是一个可行的XSS攻击

代码：

---

我不这么认为，但是外面有比我更聪明的人。这个有变化吗

这本身是无害的：

document.getElementById("demo").innerHTML = '<script src="/me.js"></script>';

HTML5指定不应执行使用innerHTML插入的标记。一,

然而，既然你提出了这个问题，那么不可否认的是，这仍然有可能被利用：

//这是攻击者必须以某种方式注入的后门 Object.definePropertyElement.prototype，“innerHTML”{ set：函数值{ const script=document.createElement'script'； script.textContent=`alert'gotcha！${value}`； document.body.appendChildscript； } }; //这就是你在应用程序中所做的 document.getElementByIddemo.innerHTML=；

---

这其中的哪一部分是XSS？设置。innerHTML不会加载/执行包含的块。你可以自己验证一下，你运行了吗？似乎是一个简单的测试用例。但设置innerHTML可以很容易地添加大量其他XSS机会。@虽然很有意义，但innerHTML的设置对于XSS是有效的：document.getElementByIddemo.innerHTML=；

document.getElementById("demo").innerHTML = '<script src="/me.js"></script>';