在jQuery中使用.attr('href',url)時防止XSS
[英]Preventing XSS when using .attr('href', url) in jQuery
問題描述
我想更新jQuery中的href標簽。 數據不受信任。 我試圖了解如何制作惡意輸入以引起XSS類型攻擊。
<a href='http://example.com' class='link'>Link</a>
我的理解是,下面的函數應該意外終止href標記並創建一個新屬性onclick ,但是它不起作用。
$('.link').on('click', function(e){
e.preventDefault();
$(this).attr('href',"' onclick='alert(\"ok\")'");
});
這是小提琴: http : //jsfiddle.net/c1d7tuda/1/
PS End的目標是對HTML實體使用_.escape() ,但要證明其用法合理。
1 個解決方案
解決方案1
0 2015-11-19 19:57:00
如果您使用未經驗證的用戶輸入更新鏈接的href屬性,則惡意用戶可以提供javascript:alert(0)作為其href值。 然后,如果用戶單擊鏈接,它將執行惡意用戶的任意javascript。
jQuery addClass()在同時使用attr(“ href”,something)時不起作用
[英]jQuery addClass() not working when also using attr(“href”, something)
使用 jQuery 的 attr("src", url) 在 iframe 中加載 url 時嘗試捕獲
[英]Try-catch when loading an url in iframe using jQuery's attr("src", url)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
使用帶有jquery href attr的Url.Action生成鏈接
jQuery addClass()在同時使用attr(“ href”,something)時不起作用
將 HREF 與 jQuery 一起使用是否容易受到 XSS 攻擊?
使用jQuery .attr替換href鏈接
如何使用jQuery應用於所有href attr
jQuery .attr()方法XSS安全嗎?
jQuery-更改href屬性
jQuery使用attr()獲取href無效
jQuery $(this).attr('href')返回未定義
使用 jQuery 的 attr("src", url) 在 iframe 中加載 url 時嘗試捕獲
相關標簽