Web*_*ner 8 html javascript innerhtml
假设我有一个<textarea>和<div>元素,当用户将html,CSS或其他任何东西放入textarea时,那么他们的输入被设置为<div>元素的innerHTML,使用javascript .
让用户定义<div>元素的内容有哪些漏洞?
如果他们输入的内容没有离开页面,那么风险并不比他们通过 firebug 或 chrome 检查器编辑 DOM 更大。如果您接受他们的输入,然后按原样显示,这将带来巨大的安全风险,尤其是当其他用户访问您的网站时。
| 归档时间: |
|
| 查看次数: |
1160 次 |
| 最近记录: |