标签: javascript xss
我的html页面有一个脚本
Test.html <html> <body> <script> alert(document.cookie); </script> </body> </html>
href link
<a href=Test.html target="_blank">Test</a>
点击“测试”链接,打开新标签并执行javascript。此脚本存在漏洞。 我想禁用新标签的所有javascript或任何替代解决方案来处理此类XSS漏洞。
答案 0 :(得分:0)
我使用iFrame标记来加载HTML,即<iframe src="Test.html" sandbox></iframe> .Iframe具有Sandbox属性,该属性阻止所有javascripts的执行。对于IE 9及以下版本,iframe具有执行相同工作的Security属性。
<iframe src="Test.html" sandbox></iframe>