以下行在FireFox中运行正常,但在Chrome中无效:
<span class='link' onclick='window.history.go(-1);'>Back</span>
以下一行同样如此:
<a class='link' href='#' onclick='window.history.go(-1);return(false);'>Back</a>
查看来源,该行以红色突出显示,该行的工具提示显示:
“令牌包含反射的XSS向量”。
那我怎么能让它发挥作用呢?
答案 0 :(得分:0)
而不是写return(false)写return false;
onclick代码应该像
onclick="window.history.go(-1);return false;"
答案 1 :(得分:0)
以下锚标记适用于Chrome(V49.0.2623.110):
<a class='link' href='#' onclick="return window.history.go(-1);">Back</a>
答案 2 :(得分:0)
我想我发现了问题所在。该页面实际上是由cgi脚本生成的。此脚本接受的参数之一是将插入页面顶部的文本。因此,脚本只在输出 as as is 中包含此文本。我在此参数中包含了上面的行,脚本只是将其插入页面顶部。这当然是一种巨大的安全风险,显然,Chrome检测到此并阻止了它。
我有点尴尬,我需要Chrome告诉我,我在我的cgi脚本中忽略了这么大的安全漏洞......