javascript - 从输入脚本中删除 javascript 字符 (' "\&) 是否可以防止 XSS?

标签 javascript html xss

我有以下 html 输入字符串 

<p><script>alert("hi")</script></p>
<img src=x:alert('xss') height= "20" width ="40" onerror=eval(src) alt="xssdemo"</img>

完全删除这些字符可以防止 XSS 弹出窗口,而不是使用反斜杠('\')转义字符(' "& )?

基本上在这里我不想使用传统的\转义,因为它会破坏 html 格式。我正在考虑完全删除 Angular 色本身。 例如:高度=“20”。

最佳答案

没有。反例:

<img src=nothing onerror=document.title++>

事实上,您也可以通过这种方式执行一些任意代码,只要您将其转换为 JSFuck事先。

关于javascript - 从输入脚本中删除 javascript 字符 (' "\&) 是否可以防止 XSS?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51174710/

上一篇:javascript - JS/Lodash - 替换多维对象中的值

下一篇:javascript - 未捕获的 TypeError : data. map 不是 ReactJS 虚拟组件上的函数

相关文章:

html - CSS 背景图片 URL 路径

javascript - 使用新数据和不同的列配置在同一 DOM 元素上重新初始化制表符

html - 这种应用内容安全策略的方法可以吗?

security - 在持续集成环境中测试跨站点脚本 (XSS) 漏洞

javascript - 使图像动画并同时反弹错误 - jQuery UI

php - 限制 IFRAME 内的 JS 和 PHP 能力

javascript - 在 Acrobat 中计算总计

javascript - Node.js Array.map() 是异步的吗?

javascript - react : Setting state in Ajax callback

javascript - 在 JavaScript 中检查数组是否包含具有特定属性值的对象?

©2024 IT工具网  联系我们