客户机潜在的XSS没有经过适当的清理或验证
Client Potential XSS without being properly sanitized or validated
我在检查马克思扫描我的代码上得到以下消息。获取文本的用户输入元素。然后,该元素的值在没有经过适当处理或验证的情况下流经代码最终在方法中显示给用户下面是我的代码。有没有人能帮我清理一下下面的场景?
脚本如下:
function setSummary(select,summary,lim, summaryHidden, limHidden) {
if(select[select.selectedIndex].value == '-1') {
summary.innerHTML = '';
lim.innerHTML = '';
summaryHidden.value = '';
limHidden.value = '';
} else {
summary.innerHTML = 'Test1 - '+select[select.selectedIndex].text;
summaryHidden.value = 'Test2 - '+select[select.selectedIndex].text;
lim.innerHTML = 'Virtual - '+select[select.selectedIndex].text;
limHidden.value = 'Virtual - '+select[select.selectedIndex].text;
}
}
我在没有正确消毒或验证的情况下获得了检查马克思漏洞
summary.innerHTML = 'Test1 - '+select[select.selectedIndex].text;
有没有人可以帮助我,如何正确地清理上面的行
这是否可利用,实际上取决于该函数如何被调用的上下文,对象select来自何处(以及它是如何填充的-这是外部可控的吗?
innerText属性,而不是innerHTML,如下所示:
summary.innerText = 'Test1 - ' + select[select.selectedIndex].text;
相关文章:
- 正在验证8个真/假复选框或复选框中的2个
- 借助asp.net验证或java脚本对多个文本进行验证
- jQuery自定义验证比较多个输入的序列
- 使用html中的外部javascript进行数据验证
- 如何使用jquery Validation验证Formspread
- jquery中的文本框验证
- 在验证和发送邮件后更改联系人表单的 html
- 代码不会验证
- JS验证ajax返回的html中的表单数据
- 同步调用,直到用户通过angular验证为访问者
- 带有加号的电话号码验证(可选)
- 解析javascript表单验证器
- 两位数的月份日期验证
- 使用angularjs验证文本框中的电子邮件
- 验证Javascript中的Textarea
- 使用regex的jquery keydown绑定不会验证撇号和句点
- Jquery表单验证插件-如果选中复选框,如何在提交时执行某些操作
- 正在删除node.js中已验证的网站
- 自定义表单验证和提交
- 客户机潜在的XSS没有经过适当的清理或验证
