我應該防止在密碼字段中注入JavaScript嗎?
[英]Should I prevent JavaScript injections in password field?
問題描述
我找到了許多有關JavaScript注入的信息,但是沒有找到有關password字段的任何特定信息。
對於我的測試GMail帳戶,我可以設置下一個密碼<Script>alert(document.cookie);</script> ,它可以正常運行。
我應該只將<和>編碼為它們的HTML等效語言嗎?
如何處理這樣的密碼?
編輯#1:我將密碼作為散列存儲在數據庫中(這里沒有JavaScript注入問題)。 我想為密碼可見性添加一個切換開關。 在這種情況下,我應該將<和>編碼為它們的HTML等效項,就是這樣嗎?
1 個解決方案
解決方案1
0 已采納 2019-08-02 17:18:11
我使用了下一條建議:
- 您應該將密碼作為散列存儲在數據庫中(此處沒有JavaScript注入問題)。
對於
Password toggle Visibility:2.1如果使用普通的
<input>,則無需執行任何操作(此處無JavaScript注入)。2.2如果使用
<span>,<div>等實現,則必須對其進行HTML編碼(請注意,您還必須擔心&字符)。
<!DOCTYPE html> <html> <body> Password: <input type="password" value="<Script>alert(document.cookie);</script>" id="myInput"><br><br> <input type="checkbox" onclick="showPasswd()">Show Password <script> function showPasswd() { var x = document.getElementById("myInput"); if (x.type === "password") { x.type = "text"; } else { x.type = "password"; } } </script> </body> </html>
使用Javascript / Typescript防止html注入
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.