使用html()时防止jquery xss
[英]jquery xss prevention when using html()
问题描述
我在jquery中有这行代码,并且有人告诉我这行容易受xss的影响,因为在使用html()函数注入原始数据之前,我没有对原始数据进行转义。
请让我知道如何转义数据以使其更安全。 (如果可以解决问题,我可以使用javascript代替,即通过id等获取元素。)
var data =“ 来自用户或其他地方的一些数据 ”;
$(“ output_area”)。html(data);
1 个解决方案
解决方案1
2 已采纳 2015-06-08 19:34:07
您必须使用:
$("output_area").text(data)
如果要注入HTML代码,则需要从数据中提取并将其作为texts添加到您自己构建的HTML代码中( $('<p/>').text(extractedParagraph)等)。
html() 与 innerHTML jquery/javascript 和 XSS 攻击
[英]html() vs innerHTML jquery/javascript & XSS attacks
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.