我在使用 extjs 6 网格分页工具栏时遇到安全问题。我能够在分页工具栏的数字字段中注入(inject) xss 脚本。
以下是带有分页网格的 fiddle 。 grid Fiddle link
尝试将此代码粘贴到分页工具栏输入字段中以重现该问题:
<img src=-x onerror="alert (0)";/>
我想停止这个 xss 注入(inject)。非常感谢任何帮助。
最佳答案
修复它的一种方法是将分页栏的数字字段输入类型更改为数字。您将可以访问 afterrender 中的 numberfield dom。
dockedItems: [{
xtype: 'pagingtoolbar',
store: 'simpsonsStore', // same store GridPanel is using
dock: 'bottom',
displayInfo: true,
listeners:{
afterrender:function(pg){
pg.child('[xtype=numberfield]').getEl().dom.getElementsByTagName("input")[0].type='number';
}
}
}]
关于javascript - extjs中分页工具栏的numberfield中的xss注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43973690/