我有一些地方向其他用户显示用户输入。
输入框。
<p>标记之间输入框的值。
<a>标记之间输入框的值。
几乎这是用户在显示名称中输入的表单,然后在下一页上有两个位置,其中两个标签之间显示名称。某些用户可以返回并编辑此文本框。
如果用户输入'hello world',下一位用户将会看到一个预先填写'hello world'的文本框,以及<a href="#">hello world</a> <p>hello world</p>
我不太熟悉JavaScript或JavaScript安全性。这在某种程度上容易受到攻击吗?如果是这样我该怎么做才能阻止它?
答案 0 :(得分:1)
是的,这会打开一个可能的XSS漏洞。
您应该使用要填充用户内容的节点的.innerText属性。
var node = document.getElementById('foo');
node.innerText = 'whatever the user entered';
答案 1 :(得分:0)
是的,这很容易受到XSS攻击,请查看https://www.owasp.org/index.php/Top_10_2010-A2