国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

DOM-based XSS in jQuery

SKYZACK / 3226人閱讀

摘要:本文介紹了幾種可能被攻擊的使用方法。如果使用標簽插入了內聯會立即執行。加的屬性返回的時編碼后的字符串,需要解碼才可能造成威脅。總體來說,任何把字符串作為可執行的代碼的操作,都是不安全的。

本文介紹了幾種可能被 XSS 攻擊的 jQuery 使用方法。

$

我們經常使用向 $ 內傳入一個字符串的方式來選擇或生成 DOM 元素,但如果這個字符串是來自用戶輸入的話,那么這種方式就是有風險的。

先看一個 DEMO:http://jsbin.com/duwuzonife/1/edit?html,js,output

javascript$("");

當用戶輸入的字符串是像這樣的時,雖然這個 元素不會馬上被插入到網頁的 DOM 中,但這個 DOM 元素已經被創建了,并且暫存在內存里。而對于 元素,只要設置了它的 src 屬性,瀏覽器就會馬上請求 src 屬性所指向的資源。我們也可以利用這個特性做圖片的預加載。在上面的示例代碼中,創建元素的同時,也設置了它的屬性,包括 src 屬性和 onerror 事件監聽器,所以瀏覽器會馬上請求圖片資源,顯然請求不到,隨機觸發 onerror 的回調函數,也就執行了 JavaScript 代碼。

推薦閱讀 $ 的官方文檔:http://api.jquery.com/jQuery/

類似的其他方法
javascript.after()
.append()
.appendTo()
.before()
.html()
.insertAfter()
.insertBefore()
.prepend()
.prependTo()
.replaceAll()
.replaceWith()
.unwrap()
.wrap()
.wrapAll()
.wrapInner()
.prepend()

以上這些方法不僅創建 DOM 元素,并且會馬上插入到頁面的 DOM 樹中。如果使用

閱讀需要支付1元查看
<