javascript - 处理嵌入式 SVG 脚本标签中的字符引用

标签 javascript html svg xss

这是一个xss脚本:

<svg><script>&#x61;&#x6c;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;</script></svg>

<script>之间的代码标签将被翻译成 alert(1)由浏览器执行。

但如果我不使用 <svg>标记代码不会被翻译成脚本。 谁能告诉我为什么会这样? <svg>如何标记工作?

最佳答案

character references的使用根据 HTML 5 规范,HTML 解析器明确不允许在脚本标记内使用。

HTML5 有一个 separate script parsing mode作为随上下文变化的多种标记化模式之一。脚本解析不允许字符引用,其他一些解析模式允许。

SVG 基于 XML,其中的规则更加简单直接。基本上任何地方都允许使用字符引用,因为有 aren't different context sensitive parsing modes .

对于 HTML 中的 SVG,HTML 规范 says

The svg element from the SVG namespace falls into the embedded content, phrasing content, and flow content categories for the purposes of the content models in this specification.

换句话说,将所有 SVG 文本解析为短语内容。所有 SVG 都是 HTML 5 解析器的单一自定义标记化模式。

关于javascript - 处理嵌入式 SVG 脚本标签中的字符引用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30952737/

上一篇:javascript - 为什么 jQuery 的 :visible selector work differently when filtered?

下一篇:javascript - 如何使用移动浏览器进行无缝音频循环?

相关文章:

html - 在包装元素的行上添加水平线分隔符

html - 在html中将鼠标悬停时更改“选择列表选项”背景色

svg - 笔画可以用作 SVG 中剪辑路径的一部分吗?

javascript - SVG:显示重叠形状的平均颜色

javascript - 使用 SVG 的动画线条

javascript - 添加选项到动态生成的选择标签

javascript - 自定义javascript提示和确认框

javascript - 在 firefox 扩展中仅使用 js 截屏

javascript - 无法获取 UIAStaticText 的值?

html - 尝试导入本地字体,但不起作用

©2024 IT工具网  联系我们