javascript - HTML: 在字符串中嵌套 '

标签 javascript html

是否可以在输入中嵌套 ' 字符。像这样:

<input type="hidden" name="breakme" value="" onfocus='alert(\'1\');' autofocus="true" />

我知道你可以做类似的事情

<input type="hidden" name="breakme" value="" onfocus="alert('1');" autofocus="true" />

但我特别需要用嵌套的 '

EDIT 为了清楚起见,我专门尝试演示 XXS 攻击,因此不能有其他脚本,并且必须在此输入中完成。我正在注入(inject)另一个输入

<input type="text" name="breakme" value="<?php echo @$_POST['breakme'] ?>">

所以它不能是 "并且必须使用 '。因为我想注入(inject)的东西(调用如 'google.com?' + 'hi' 我需要能够嵌套'

最佳答案

on* 属性是完全正常的 HTML,因此您可以使用 '' 之类的字符引用来对撇号进行编码:

<input type="hidden" name="login" value="" onfocus='alert(&#39;1&#39;);' autofocus="true" />

' 也是由 HTML5 定义的,但请注意它在 IE8 中不起作用。

关于javascript - HTML: 在字符串中嵌套 ',我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45269714/

上一篇:javascript - 使用正则表达式匹配访问数组/对象

下一篇:javascript - 使用 IDE (Node) 读取本地存储的 JSON 文件

相关文章:

javascript - 新的 Rails 3 应用程序,我可以删除哪些 .js 文件?想使用 jQuery 而不是原型(prototype)

Javascript:在html中复制div,替换其中的硬编码文本,然后附加到另一个div

html - 如何让一个盒子足够大以容纳里面的某个元素?

javascript - 混合混合模式不适用于自定义光标

html - 表格和屏幕阅读器

javascript - 如何使用 Jquery 选择动态添加的元素

Javascript 正则表达式 : surround @_____, #____,和 http ://______ with anchor tags in one pass?

javascript - Swiper 分页自定义类

html - Foundation 6 - 使用CSS正确排列Header图片和Nav

javascript - 删除html表格行最后一个单元格的内容

©2024 IT工具网  联系我们