我并不担心其他类型的攻击.只想知道HTML Encode是否可以防止各种XSS攻击.
即使使用HTML Encode,是否有某种方法可以进行XSS攻击?
我正在element.textContent = unescapedData努力将非转义用户输入放在网站上.有没有办法让攻击者用这个做坏事?
此外,有没有什么办法让攻击者影响之外的页面element(意外30rem的3rem箱子),如果它具有以下CSS?
max-width: 30rem;
max-height: 3rem;
overflow: hidden;
我曾考虑使用奇怪或无效的Unicode字符,但无法找到有关如何完成此操作的任何信息.
执行以下操作是否100%安全?:
var untrusted_input_from_3rd_party = '<script>alert("xss")<\/script>';
document.getElementsByTagName('body')[0].appendChild(document.createTextNode(untrusted_input_from_3rd_party));
考虑到第三方可以输入任何内容(HTML,CSS等),我可以确定如果我将其传递createTextNode然后将其添加到dom中它不会造成任何伤害吗?