我想知道在通过Javascript直接设置表单字段值时是否存在安全问题。我确信在任何情况下这样做都是安全的,但我应该绝对肯定而不是很确定。所以,我在征求你的意见。
我的意思是:
假设我有一个HTML表单,其中包含一个id为“txt_Field”的文本输入字段,我正在执行以下操作:
...
myvalue = "<script>alert('I am evil');</script>";
document.getElementById("txt_Field").value = myvalue;
...
即。我将表单字段的值设置为一个字符串,该字符串保存在变量中而不会以任何方式转义或过滤该字符串。当然,该字符串实际上将包含用户生成的输入以及各种邪恶的东西。
尽管如此,我认为这样做是安全的。有没有人知道一个证明相反的例子?
请注意,问题不在于,当表单数据发送到服务器时,未经过滤的表单字段值是否会在后端造成损害。
我只是想知道是否有人能够想到myvalue中的任何内容,当表单字段值以这种方式设置时,或者如果我一般误解了非常重要的东西时,可能会欺骗(现代)浏览器变成奇怪的行为。
非常感谢!