下面,我有一些代码被我的代码扫描工具标记为容易受到XSS攻击。这是一个AJAX调用,可以返回一些不受信任的数据,然后将其用于将新的数据附加到下拉菜单中。 值和新内容是使用AJAX调用中不受信任的数据设置的。
似乎不可能逃脱.attr()执行上下文或.text()。我尝试了多种尝试来破坏它,但没有成功。
是否可以使用XSS来利用它?还是我的代码扫描程序标记为误报?
$.ajax({
url:'example',
data: {
abc : $('#someField').val()
},
success: function(data) {
$('#dropdown').append($("<option></option>")
.attr("value", data.unsafeId)
.text(data.unsafeText));
}
});