[DUDA] Insertar dentro de un String codigo html

[kevenvarela]

Hola a todos, les planteo el problema a ver si tiene solucion.

Yo tengo una aplicacion web, en la cual tengo una API que puedo enviar JSON que contienen:
{"nombre":"unNombre",
"edad": 15}

Lo que hace la Aplicacion web simplemente es ir mostrando la lista de esas personas y edades en una unica pantalla HTML.

No tengo acceso para cambiar el codigo de la aplicacion, solo tengo acceso a endpoint de la API.

Mi duda es: ¿Hay alguna forma de enviar codigo HTML o javascript dentro de ese JSON y que se llegue a renderizar en la aplicacion ?

O por ejemplo, se puede dentro de un String enviar codigo html de alguna forma de que viaje como string, pero la pagina web a la hora de renderizarse se ejecute ese html dentro del string ??


algo asi: "esto es <html>CODIGO</html> un string"  yo no quiero que quede ese string asi como esta, sino que se cargue la etiqueta html ignorando que esta dentro de un string.

[LaThortilla (Effort)]

De lo que estas hablando es de hacer un Crost Site scripting.
https://es.wikipedia.org/wiki/Cross-site_scripting

Si al servidor que envias esa cadena tiene algun filtro que evite el crost site scripting no podras hacerlo .

si no lo tiene activo solo seria de tratar de encontrar el fallo. osea analizar la forma en que inserta la cadena en el html.


ejemplo intenta agregando: " o ' antes del html

[kevenvarela]

Muchas gracias, al mandar entre ' ' (comillas simples) por ejemplo una etiqueta <h1> desaparece y la toma, pero cuando mando un tipo <script> me dice bad request.

Voy a seguir investigando, muchas gracias.