繁体 English 中英

.innerHTML和XSS预防

[英].innerHTML & XSS Prevention

原文 2017-10-02 21:49:19 5 1 javascript/ html/ xss

我有以下代码行：

document.getElementById("div-1").innerHTML = userInput;

其中， userInput是用户提供的变量。 我意识到用户可以通过插入类似以下内容的内容轻松插入有害的脚本：

<img src="/" onerror="alert('attack');"/>

但是，我不确定这是否是XSS的示例，因为我觉得只有受影响的用户才是攻击者。

这是XSS的示例吗？ 如果是这样，您能否举一个示例，说明攻击者如何以XSS形式利用此漏洞以及如何减轻这种安全风险？

是的，这是XSS。 如果仅攻击者他/她自己受到影响，则称为自我XSS。 但是，自我XSS通常可以与其他错误（例如CSRF）链接在一起，以将自我XSS转变为可行的攻击媒介。

如果将userInput分配给.textContent而不是.innerHTML，则指示浏览器将数据视为文本而不是HTML。

[英]XSS prevention and .innerHTML

[英]Javascript XSS Prevention

[英]XSS attack prevention

[英]XSS injection and innerhtml

[英]jquery xss prevention when using html()

[英]XSS prevention. Handling <script is enough?

[英]Approach XSS prevention on Html page using javascript

[英]DOM Based XSS Attack and InnerHTML

[英]C# MVC Cross-Site Scripting (XSS) Prevention

[英]Bypassing query string validation (XSS prevention) in ASP.NET

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 XSS 预防和 .innerHTML Javascript XSS 预防 XSS攻击预防 XSS注入和innerhtml 使用html（）时防止jquery xss XSS预防。处理<脚本就足够了？使用JavaScript在HTML页面上实现XSS防护基于DOM的XSS攻击和InnerHTML C＃MVC跨站点脚本（XSS）预防在ASP.NET中绕过查询字符串验证（防止XSS）

相关标签