我从输入类型获取值如下:
var num = $(document).find('#num').val();
我尝试使用以下代码避免XSS攻击的输入类型:
num = jQuery(num).text().replace( 'script', '' ) ;
但它不起作用。还有其他想法吗?
答案 0 :(得分:1)
即使此代码有效,您也无法使用javascript阻止xss攻击。如果你想这样做:$(document).find('#num').val($(document).find('#num').val().replace('script',''));
现在您输入了哪些脚本字符串已删除,但如果有人在您的输入中写入<scscriptript>,该怎么办?在中间删除脚本字符串后,会有另一个脚本标记。您必须检查服务器端的输入。