请教一个关于XSS攻击问题

success: function (data) {
var mapJson = data.map;
strHtml += "<table id='layerTable' class='table table-bordered' style='color:#FFF;'>";
                strHtml += "<tr>";

                for (var item in mapJson) {
                    strHtml += "<td align='center'>";
                    strHtml += item;
                    strHtml += "</td>";
                }
                strHtml += "</tr>";
                strHtml += "<tr>";
                for (var item in mapJson) {
                    strHtml += "<td align='center'>";
                    strHtml += mapJson[item];
                    strHtml += "</td>";
                }
                strHtml += "</tr>";
                strHtml += "</table>";
            }

            if (!msgFlag) {
                return;
            }
            $('#staticInfos').html(strHtml);

对于绿盟科技报出的XSS漏洞，各位大佬是怎么解决的？

wendal

1楼•2033天前

不要直接拼html就没事了

码农(wsvip)

2楼•2033天前

@wendal 感觉绿盟检测的有点naocan吧。。。。
它检测到的是
来源：function (data)
目的地： $('#staticInfos').html(strHtml);
这种错误，有点摸不着头脑，在后台中已经添加了相关的xss过滤和特殊字符清洗的功能了，但是好像这种检测代码的都只是看一眼当前的代码，没有看整体的

KerwinChen(kerwinchen)

3楼•2032天前

静态语法分析就只能这样。
本身直接拼 html 就是有风险。

请先登陆