我正在阅读XSS预防并继续使用不受信任的数据。我理解URL参数,表单字段和cookie的含义。但是我不明白它在下面的语境中是什么意思。
例如,document I am reading列出了一些这样的示例:
<script>...NEVER PUT UNTRUSTED DATA HERE...></script> directly in a script
<!--...NEVER PUT UNTRUSTED DATA HERE...--> inside an HTML comment
<div ...NEVER PUT UNTRUSTED DATA HERE...=test /> in an attribute name
<NEVER PUT UNTRUSTED DATA HERE... href="/test" /> in a tag name
<style>...NEVER PUT UNTRUSTED DATA HERE...</style> directly in CSS
他们在谈论什么类型的不受信任的数据?我不明白。我将脚本标签用于本地javascript文件或指向CDN站点的链接。我使用注释标签来描述代码中的内容。当我将链接地址放在锚标记中时,我知道链接的位置。属性名称中的不受信任的数据?我用谷歌搜索了这些,但一直找不到任何可以解决我的困惑的事情。
答案 0 :(得分:1)
对于不受信任的数据,它们表示来自用户或您无法控制的其他不受信任来源的数据。 典型示例是以/index.php?name=joe结尾的URL 然后将该url参数回显到页面中: &lt;! - name is:&lt;?php echo $ _GET [“name”]?&gt; - &GT;