我认为 knockout 可以处理这种情况,但想确认一下。如果使用像 input/textarea 这样的表单控件进行值绑定(bind),那么真的没有脚本注入(inject)攻击的危险吗?
或者您是否需要执行某些操作来确保在将值设置到 View 模型中之前对其进行编码?
最佳答案
该值将按原样保存到 View 模型中。这仅取决于您如何使用它。 text 绑定(bind)将根据使用 innerText/textContent 设置值对内容进行编码。所以,你在那里很安全。如果您要将 html 绑定(bind)与通过 value 绑定(bind)设置的内容一起使用,则可以注入(inject)脚本。
查看 knockout 文档 About HTML encoding了解更多信息。
关于html - 是否有可能使用 Knockout 的值绑定(bind)进行脚本注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10270362/