NutzCN Logo
问答 请教一个关于XSS攻击问题
发布于 1170天前 作者 码农 1336 次浏览 复制 上一个帖子 下一个帖子
标签:
success: function (data) {
var mapJson = data.map;
strHtml += "<table id='layerTable' class='table table-bordered' style='color:#FFF;'>";
                strHtml += "<tr>";

                for (var item in mapJson) {
                    strHtml += "<td align='center'>";
                    strHtml += item;
                    strHtml += "</td>";
                }
                strHtml += "</tr>";
                strHtml += "<tr>";
                for (var item in mapJson) {
                    strHtml += "<td align='center'>";
                    strHtml += mapJson[item];
                    strHtml += "</td>";
                }
                strHtml += "</tr>";
                strHtml += "</table>";
            }

            if (!msgFlag) {
                return;
            }
            $('#staticInfos').html(strHtml);

对于绿盟科技报出的XSS漏洞,各位大佬是怎么解决的?

3 回复

不要直接拼html就没事了

@wendal 感觉绿盟检测的有点naocan吧。。。。
它检测到的是
来源:function (data)
目的地: $('#staticInfos').html(strHtml);
这种错误,有点摸不着头脑,在后台中已经添加了相关的xss过滤和特殊字符清洗的功能了,但是好像这种检测代码的都只是看一眼当前的代码,没有看整体的

静态语法分析就只能这样。
本身直接拼 html 就是有风险。

添加回复
请先登陆
回到顶部