use*_*746 7 html xss twitter-bootstrap
我正在浏览Twitter Bootstrap关于工具提示的文档.据说data-html=true如果你担心XSS攻击,不要在工具提示内部设置.
什么data-html=true做的是它可以让你在一个元素的编写HTML title属性.
我对XSS攻击一无所知.我尝试在维基百科上阅读它,但这没有多大帮助.
你能解释一下:
XSS表示跨站点脚本,因此XSS攻击通常涉及将代码(例如JS)注入站点,然后该站点与另一站点/服务器通信或初始化恶意代码.
1)它会引发安全问题,因为除非data-html设置为true工具提示中的任何HTML将被转义/显示为文本而不进行解析.如果设置为true内容将被解析为HTML.这意味着如果您在此处显示的用户输入变量未正确清理,则可能会注入恶意HTML代码,例如启动XSS攻击的javascript.
2)确保您在工具提示中输出的所有内容都是安全的.例如,如果您让用户输入工具提示中显示的有关自己的信息,请确保在工具提示中输出之前对其进行了正确的清理.