使用动态预标记的警告XSS
Thwarting XSS using dynamic pre tags
根据专家建议,用户内容(replyContent
)包含在<pre>
标签中,以减轻XSS,如下所示。但是为什么每个人都说下面的代码避免XSS呢??
无论如何,我尝试注入</pre><script>alert("XSS");</script><pre>
,但它成功地阻止了尝试,并显示了代码片段。
那么,这是否足够(已经有代码可以去掉<、>、/、'、&等特殊字符),或者有什么方法可以绕过这种保护??
知道吗??
代码段:
$row = $("<tr class='wp_replies_tr'></tr>");
...
$msgColumn5 = $("<td width='112' class='wp_msgCol5'></td>");
$preTag = $("<pre class='wp_reply_content'></pre>");
$pre.text( replyContent );
$msgColumn5.html($pre);
$row.append($msgColumn5);
$pre.text( replyContent );
将输入转换为HTML,从而防止注入(doc)。CCD_ 5使用已经消毒的CCD_ 6。
相关文章:
- chrome扩展更改主机/域警告
- 如何永久停止jshint'只读'警告/错误
- 如何防止在使用.val()时引入XSS漏洞
- JShint-.jshintrc中的ES6有esversion,但仍收到警告(使用atom)
- Webpack UglifyJS仍在发出警告消息
- XSS通过地址栏注入
- 如何照顾CSRF&单页应用程序中不使用cookie的XSS攻击
- 我确实有一个表单,如果用户输入了输入,它应该检查否定或空的输入框,并抛出一条警告消息
- Rails:如何在浏览器中显示动态html内容,而不会对其进行转义,也不会引起XSS攻击
- React Router一直给我一个警告:你不能更改<路由器路由>
- 为什么Grunt Copy给了我一个'undefined不是函数'警告
- 执行此代码时,我看不到警告框
- JS应用程序中基于DOM的XSS保护
- 页面中的声学警告
- 在Resharper中禁用javascript类型强制警告
- XSS脚本攻击攻击->可以't调用javascript
- npm警告包.jsonCrackingJS@0.0.1没有存储库字段
- 为什么JavaScript对话框(警告、确认)会停止页面重绘
- 尝试在两次迭代中警告同一选择器的值,在第一次迭代中得到正确的值,而在第二次迭代中获得不正确的值.为什么?
- 使用动态预标记的警告XSS