这些东西容易受到JavaScript注入吗?

时间:2013-02-28 15:15:02

标签: javascript security

我有一些地方向其他用户显示用户输入。

输入框。

<p>标记之间输入框的值。

<a>标记之间输入框的值。

几乎这是用户在显示名称中输入的表单,然后在下一页上有两个位置,其中两个标签之间显示名称。某些用户可以返回并编辑此文本框。

如果用户输入'hello world',下一位用户将会看到一个预先填写'hello world'的文本框,以及<a href="#">hello world</a> <p>hello world</p>

我不太熟悉JavaScript或JavaScript安全性。这在某种程度上容易受到攻击吗?如果是这样我该怎么做才能阻止它?

2 个答案:

答案 0 :(得分:1)

是的,这会打开一个可能的XSS漏洞。

您应该使用要填充用户内容的节点的.innerText属性。

var node = document.getElementById('foo');
node.innerText = 'whatever the user entered';

答案 1 :(得分:0)

是的,这很容易受到XSS攻击,请查看https://www.owasp.org/index.php/Top_10_2010-A2