Benim javascript bir sorgu dizesinden veri okur ve bu verileri jQuery.val()
kullanarak bir metin kutusuna koyar.Javascript/jQuery Sorgu dizgileri üzerinden okuma XSS potansiyeli
Bu iyi çalışıyor ancak XSS saldırılarına karşı güvenli olduğunu mu merak ediyorum?
ben IE8/firefox test kadarıyla jQuery.val('"javascript:alert(document.cookie)')
Bu giriş değerini ayarlar:
etkili bir yapacağınısite.com?q="javascript:alert(document.cookie)
Ben ilk dize üzerinde bu işlevi çalıştırırsanız:
function htmlEncode(str) {
return str.replace(/</g, '<').replace(/>/g, '>').replace(/'/g, ''').replace(/"/g, '"');
}
Sonra anlamıyla ne istiyorum değil, giriş değeri
"javascript:alert(document.cookie)
bakın.
jQuery'yi kullanma 1.5.2 Sanırım sorum, sizin için jQuery.val()
HTML varlıklarını ele alıyor ve bu nedenle güvenli kabul ediliyor mu?
@fire - Yukarıdaki cevabı yazdıktan sonra, yardımcı olabileceğiniz başka bir şey düşündüm.Asıl cevabımı zaten kabul etmiş olmanıza rağmen, ek materyali yine de yayınlamaya karar verdim çünkü bence sorduğunuz şeyin altında yatan daha derin bir soruyu yanıtlayabilir. Hackerların körfezde kalması için iyi şanslar! –