Hola a todos, les planteo el problema a ver si tiene solucion.
Yo tengo una aplicacion web, en la cual tengo una API que puedo enviar JSON que contienen:
{"nombre":"unNombre",
"edad": 15}
Lo que hace la Aplicacion web simplemente es ir mostrando la lista de esas personas y edades en una unica pantalla HTML.
No tengo acceso para cambiar el codigo de la aplicacion, solo tengo acceso a endpoint de la API.
Mi duda es: ¿Hay alguna forma de enviar codigo HTML o javascript dentro de ese JSON y que se llegue a renderizar en la aplicacion ?
O por ejemplo, se puede dentro de un String enviar codigo html de alguna forma de que viaje como string, pero la pagina web a la hora de renderizarse se ejecute ese html dentro del string ??
algo asi: "esto es <html>CODIGO</html> un string" yo no quiero que quede ese string asi como esta, sino que se cargue la etiqueta html ignorando que esta dentro de un string.
De lo que estas hablando es de hacer un Crost Site scripting.
https://es.wikipedia.org/wiki/Cross-site_scripting
Si al servidor que envias esa cadena tiene algun filtro que evite el crost site scripting no podras hacerlo .
si no lo tiene activo solo seria de tratar de encontrar el fallo. osea analizar la forma en que inserta la cadena en el html.
ejemplo intenta agregando: " o ' antes del html
Muchas gracias, al mandar entre ' ' (comillas simples) por ejemplo una etiqueta <h1> desaparece y la toma, pero cuando mando un tipo <script> me dice bad request.
Voy a seguir investigando, muchas gracias.