html()vs innerHTML jquery/javascript&XSS攻击

我在自己的代码上测试xss攻击.下面的示例是一个简单的框,用户可以在其中键入他想要的任何内容.按下"测试!"后 按钮,JS会将输入字符串显示为两个div.这是我更好地解释我的问题的一个例子:

this is a test
  
    
    
    

    
    

    

如果您尝试将其复制到.html文件并运行它,它将正常工作,但如果您尝试输入,将只抛出一个警告框:`test-html'div内的一个(带有html()函数).

我真的不明白为什么会发生这种情况,而且,用firebug检查代码会给我这个结果(在注入脚本之后)

this is a test


 

  

你可以看到test-htmldiv是空的,而test-innerhtmldiv是脚本.有人可以告诉我为什么吗？是因为html()对脚本注入或类似的东西更安全吗？

在此先感谢,最好的问候.

与此页面上的内容相反,接受HTML字符串作为参数jQuery.html()的许多jQuery函数比innerHTML OP注意到的更容易进行基于DOM的XSS注入.

jQuery.html()提取

手机用户2502852037

这个屌丝很懒，什么也没留下！

关注作者

Tags | 热门标签

• actionscrip
• bash
• c#
• c++
• c语言
• erlang
• flutter
• go
• golang
• java
• javascript
• lua
• node.js
• perl
• php
• python
• scala
• typescript

RankList | 热门文章

• 1在JavaScript事件回调中绑定"this"的正确方法？
• 2在Robolectric中测试文件创建
• 3RuntimeError:针对API版本a编译的模块,但是这个版本的numpy在ubuntu中是9
• 4将angular指令添加到rails中的simple_form会破坏集合输入的选定选项
• 5删除列表项单词后面的逗号
• 6有谁真的知道如何解决这些错误？
• 7Maven版本插件：更新插件
• 8lsof打印数字端口
• 9打字稿类型转换不起作用
• 10解释PlayFramework 2中的测试工具之间的差异(WithApplication,WithServer,WithBrowser,InMemory等...)
• 11如果它们具有相同的名称并且我无法修改其他文件,如何在其他C文件中使用具有相同名称的多个函数？
• 12Google Apps脚本，选择一个工作表
• 13如何快速查找本地计算机名称？
• 14iOS检测类是Objective-C还是Swift
• 15一旦点击,如何防止JCheckBoxMenuItem关闭？
• 16将Angular和localForage与webpack一起使用
• 17意外的卷积结果
• 18JSON的正确语言是什么
• 19Java:没有空格的字符串操作
• 20Laravel Guzzle不起作用,但Curl确实如此