使用Ajax显示时防止XSS
Protecting against XSS when displayed using Ajax
从服务器返回的data
容易受到XSS攻击。在使用htmlspecialchar()
之类的东西将数据发送到客户端之前,我是否需要在服务器上对数据进行消毒,或者$.get()
是否会中介XSS?谢谢你
$.get('getData.php',
function (data){
$('#div1').text(data.div1);
$('#div2').html(data.div2);
$('#textarea').val(data.textarea);
},'json');
$('#div1').text(data.div1);
不容易受到XSS的影响,因为您正在更改元素的文本。这将照顾到您使用htmlspecialchars
的目的。
$('#div2').html(data.div2);
这是,因为你正在改变html而不是文本,所以如果你不知道你的响应,有人可以在那里放一个<script>
标签,并在你的页面上运行任意代码。
$('#textarea').val(data.textarea);
也可以,因为它改变了文本区域的内容。
相关文章:
- 无法在通过jQuery的ajax加载的页面中执行javascript
- 如何通过ajax刷新JSF填充的javascript变量
- 如何在php文件中获取$.post-ajax传递的值
- Replacing $ .ajax?
- 在使用Polymer'加载所有json文件后执行方法;s的核心ajax
- Ajax发布表单序列化,发布引号'
- 通过Ajax将JavaScript函数传递给PHP文件
- ajax请求的顺序总是不同的
- 可以't使用Polymer's的核心ajax
- Ajax Live搜索发布到Laravel视图
- Ajax聊天消息重复而不仅仅是更新
- 从控制器返回后Ajax启动事件激发
- PHP AJAX图片上传示例不上传
- 从ajax请求中获取javascript对象
- 另一个ajax调用中的Jquery ajax调用在for循环中没有按预期工作
- 引入XSS的jQuery$.ajax()调用
- 如何保护我的 ajax 免受 XSS 漏洞 (NODE.JS) 的侵害
- 使用Ajax显示时防止XSS
- Ajax.请求外部站点:是否XSS
- 正在使用URL从隐藏字段调用AJAX XSS安全