标签: javascript jquery security xss
下面有一个示例,我的代码扫描工具将该示例标记为潜在的XSS漏洞:
$('#someField').attr('value', $('#dropdown option:selected').text());
这只是使用下拉菜单中选择的选项文本设置字段的 value 属性。假设下拉选项的文本不安全且不受信任,那么如何通过XSS进行利用? (请注意,触发另一个下拉更改事件时,此代码会触发运行。)