JavaScript非持久性安全问题
尽管我有点偏执,但我从来没有真正了解过网络安全,所以我缺乏知识,这让我有点困惑 示例:假设您有两个文本框,都是用于用户输入的 用户在这两个文本框中键入他们想要的内容并单击一个按钮,然后该按钮使用一点JavaScript并连接这两个文本框中的内容,并将其显示在一个div中 我的问题是,在这种情况下,由于它使用JavaScript客户端,您真的需要清理用户输入吗 如果它输出到文本框而不是div呢?还是作为警报 我知道当涉及到forms/PHP时,您总是希望清理输入,但我对JavaScript安全预防措施并不十分熟悉JavaScript非持久性安全问题,javascript,security,Javascript,Security,尽管我有点偏执,但我从来没有真正了解过网络安全,所以我缺乏知识,这让我有点困惑 示例:假设您有两个文本框,都是用于用户输入的 用户在这两个文本框中键入他们想要的内容并单击一个按钮,然后该按钮使用一点JavaScript并连接这两个文本框中的内容,并将其显示在一个div中 我的问题是,在这种情况下,由于它使用JavaScript客户端,您真的需要清理用户输入吗 如果它输出到文本框而不是div呢?还是作为警报 我知道当涉及到forms/PHP时,您总是希望清理输入,但我对JavaScript安全预防
我的理解是,由于这是客户端,服务器没有保存任何数据,因此用户所做的任何事情(试图输入一些恶意代码或其他什么)都不会影响除该用户以外的任何人,对吗?您不必清理任何不进入服务器的内容
如果人们想对他们的页面实例做些什么,他们唯一能伤害的就是他们自己。看看你能用像GreaseMonkey这样的扩展做什么。。。我们谈论的不仅仅是串接字符串并显示它们。不,这不是安全问题。原因是攻击者必须强迫受害者的浏览器执行此操作,才能使其成为XSS
但是,如果您从诸如
document.locationdocument.write()