托管我们网站的公司在部署之前审查了我们的代码--他们最近告诉我们:
XSS字符串永远不应该被直接操作,因为这会给我们带来潜在的
漏洞。相反,始终使用DOM创建的elements...that可以是jQuery或直接的DOM。
例如,而不是
this.html.push( '<a class="quiz-au" data-src="' + this.au + '"><span class="quiz-au-icon"></span>Click to play</a>' );
他们让我们去做
var quizAuLink = $( 'a' );
quizAuLink.addClass( 'quiz-au' );
quizAuLink.data( 'src', this.au );
quizAu.text( 'Click to play' );
quizAu.prepend( '<span class="quiz-au-icon"></span>' );
这是真的吗?谁能给我们举一个XSS攻击的例子,它可以利用像第一个一样的HTML字符串?
https://stackoverflow.com/questions/26990899
复制相似问题