DOM Clobbering.

在本节中，我们将描述DOM Clobbering的内容，演示如何使用Clobbering技术利用DOM漏洞，并建议您可以降低DOM Clobbering攻击的方式。

什么是dom clobbering？

DOM Clobbering是一种技术，您将HTML注入页面以操纵DOM并最终更改页面上JavaScript的行为。DOM Clobbering在案件中特别有用XS.是不可能的，但您可以在属性的页面上控制一些HTMLID或者姓名由HTML过滤器白名单。最常见的DOM Clobbering形式使用锚元素来覆盖全局变量，然后以不安全的方式由应用程序使用，例如生成动态脚本URL。

术语clobbering来自于您“clobboring”对象的全局变量或属性，并使用DOM节点或HTML集合覆盖它。例如，您可以使用DOM对象覆盖其他JavaScript对象并利用不安全的名称，例如提交，干扰表格的实际情况提交（）功能。

如何利用DOM-Clobbering漏洞

JavaScript开发人员使用的常见模式是：

如果您可以在页面上的一些HTML控制，则可以打击该页面someObject.使用DOM节点的引用，例如锚点。考虑以下代码：