通过Javascript设置表单字段值时的安全注意事项?

时间:2015-08-08 17:46:30

标签: javascript html forms

我想知道在通过Javascript直接设置表单字段值时是否存在安全问题。我确信在任何情况下这样做都是安全的,但我应该绝对肯定而不是很确定。所以,我在征求你的意见。

我的意思是:

假设我有一个HTML表单,其中包含一个id为“txt_Field”的文本输入字段,我正在执行以下操作:

...
myvalue = "<script>alert('I am evil');</script>";
document.getElementById("txt_Field").value = myvalue;
...

即。我将表单字段的值设置为一个字符串,该字符串保存在变量中而不会以任何方式转义或过滤该字符串。当然,该字符串实际上将包含用户生成的输入以及各种邪恶的东西。

尽管如此,我认为这样做是安全的。有没有人知道一个证明相反的例子?

请注意,问题不在于,当表单数据发送到服务器时,未经过滤的表单字段值是否会在后端造成损害。

我只是想知道是否有人能够想到myvalue中的任何内容,当表单字段值以这种方式设置时,或者如果我一般误解了非常重要的东西时,可能会欺骗(现代)浏览器变成奇怪的行为。

非常感谢!

1 个答案:

答案 0 :(得分:-1)

我认为这样做是安全的,因为要运行代码 - 您应该使用eval()方法。当然,这绝对安全!