在Javascript中构建HTML字符串真的不安全吗?
在Javascript中构建HTML字符串真的不安全吗?
提问于 2014-11-18 17:35:26
托管我们网站的公司在部署之前审查了我们的代码--他们最近告诉我们:
XSS字符串永远不应该被直接操作,因为这会给我们带来潜在的
漏洞。相反,始终使用DOM创建的elements...that可以是jQuery或直接的DOM。
例如,而不是
this.html.push( '<a class="quiz-au" data-src="' + this.au + '"><span class="quiz-au-icon"></span>Click to play</a>' );他们让我们去做
var quizAuLink = $( 'a' );
quizAuLink.addClass( 'quiz-au' );
quizAuLink.data( 'src', this.au );
quizAu.text( 'Click to play' );
quizAu.prepend( '<span class="quiz-au-icon"></span>' );这是真的吗?谁能给我们举一个XSS攻击的例子,它可以利用像第一个一样的HTML字符串?
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/26990899
复制相关文章
相似问题