我知道XSS攻击者使用文本框将脚本注入页面。我想知道是否可以在表单中的 span , p , label 元素上使用脚本,并将其注入页面。我们应该尝试通过标签来防止这种攻击吗?
答案 0 :(得分:3)
您需要记住的是,XSS漏洞只是由不受信任,未经验证和未转义的数据在网页中的任何位置呈现。这包括JavaScript,CSS以及HTML正文中的任何位置。
如果您正在生成简单设置属性的完整HTML元素,则无关紧要,因为XSS很容易突破其要呈现的标记并插入自己的标记。
答案 1 :(得分:2)
任何 HTML元素都容易受到XSS攻击,如果您从用户输入动态生成HTML元素,尤其。
答案 2 :(得分:0)
附注:如果您正在使用UI库,那么了解传递给UI组件的用户输入是否将呈现为HTML或纯文本非常重要 - 因为您只需要转义传递的用户输入到实际呈现为HTML的组件。