Bin*_*rus 6 html javascript forms
我想知道在通过Javascript直接设置表单字段值时是否存在安全问题.我确信在任何情况下这样做都是安全的,但我绝对肯定而不是很确定.所以,我在征求你的意见.
我的意思是说:
假设我有一个HTML表单,其中包含一个id为"txt_Field"的文本输入字段,我正在执行以下操作:
...
myvalue = "<script>alert('I am evil');</script>";
document.getElementById("txt_Field").value = myvalue;
...
即我将表单字段的值设置为一个字符串,该字符串保存在变量中而不以任何方式转义或过滤该字符串.当然,该字符串实际上将包含用户生成的输入与各种邪恶的东西.
不过,我认为这样做是安全的.有人知道一个证明相反的例子吗?
请注意,问题不在于,当表单数据发送到服务器时,未经过滤的表单字段值是否会在后端造成损害.
我只是想知道是否有人能够想到myvalue中的任何内容,当表单字段值以这种方式设置时,或者如果我一般误解了非常重要的东西时,它可以欺骗(现代)浏览器变成奇怪的行为.
非常感谢你!