我测试移动应用程序时出现以下错误。如何解决此XSS错误?
q请求参数的值作为标记之间的纯文本复制到HTML文档中。有效负载2906f<script>alert(1)</script>b08ffac3085已在q参数中提交。此输入在应用程序的响应中未经修改地回显。
这种概念验证攻击表明可以将任意JavaScript注入应用程序的响应中。
答案 0 :(得分:0)
在将HTML文档放入HTML文档之前对其进行编码。
使用JavaScript(因为这是您提到的唯一语言),通常意味着使用createTextNode代替innerHTML。