我遇到了以下代码的 DOM XSS 问题,在 ajax 成功时,我将数据作为返回值传递给我的一个 div,并且此代码正在创建 DOM XSS。
谁能帮我解决这个问题。 返回值以 HTML 数据的形式出现,我需要将其分配给 DIV。
$.ajax({
url: 'API/MyDemoURL',
type: 'POST',
data: { id: 1},
cache: false,
success: function (data) {
$("#div1").html(data);
}
});
我尝试使用 Escape HTML 或编码 HTML,但它用代码替换标签并将其分配给 div 并将其打印为字符串。
来自服务器端的数据:-
"<table><tr><td>hello World!!</td></tr></table>"
最佳答案
HTML 由服务器端的 C# 代码生成。因此,为了修复 XSS 漏洞,您必须在生成 HTML 时在 C# 代码中正确编码数据。该错误存在于您的 C# 代码中,而不是您的 JS 代码中。
关于javascript - jquery中ajax返回值的DOM XSS问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43654248/