[英]Safety considerations when setting form field values via Javascript?
我想知道在通過Javascript直接設置表單字段值時是否存在安全問題。 我確信在任何情況下這樣做都是安全的,但我應該絕對肯定而不是很確定。 所以,我在征求你的意見。
我的意思是說:
假設我有一個HTML表單,其中包含一個id為“txt_Field”的文本輸入字段,我正在執行以下操作:
...
myvalue = "<script>alert('I am evil');</script>";
document.getElementById("txt_Field").value = myvalue;
...
即我將表單字段的值設置為一個字符串,該字符串保存在變量中而不以任何方式轉義或過濾該字符串。 當然,該字符串實際上將包含用戶生成的輸入與各種邪惡的東西。
不過,我認為這樣做是安全的。 有人知道一個證明相反的例子嗎?
請注意,問題不在於,當表單數據發送到服務器時,未經過濾的表單字段值是否會在后端造成損害。
我只是想知道是否有人能夠想到myvalue中的任何內容,當表單字段值以這種方式設置時,或者如果我一般誤解了非常重要的東西時,它可以欺騙(現代)瀏覽器變成奇怪的行為。
非常感謝你!
我認為這是安全的,因為運行代碼 - 你應該使用eval()方法。 當然,這絕對安全!
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.