Warning: file_get_contents(/data/phpspider/zhask/data//catemap/6/haskell/9.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
转义js字符串,以便不作为javascript计算_Javascript_Code Injection - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • 转义js字符串,以便不作为javascript计算

转义js字符串,以便不作为javascript计算

javascript

转义js字符串,以便不作为javascript计算,javascript,code-injection,Javascript,Code Injection,我不知道阻止js字符串对js代码求值的过程是如何调用的(类似于js注入[来自sql注入],我不知道,所以如果你知道,请告诉我)。但我需要做到这一点,你能给我一个建议吗 字符串示例: "name": " /><img src=\"\" onerror=\"javascript:alert('random sad@#! string]')\" />", “名称”:“/>”, 例如,我从一个json中读到这一点,json将被设置为dom元素的标题,当呈现时,这将抛出一个警报弹出窗

我不知道阻止js字符串对js代码求值的过程是如何调用的(类似于js注入[来自sql注入],我不知道,所以如果你知道,请告诉我)。但我需要做到这一点,你能给我一个建议吗

字符串示例:

"name": " /><img src=\"\" onerror=\"javascript:alert('random sad@#! string]')\" />",

“名称”:“/>”,
例如,我从一个json中读到这一点,json将被设置为dom元素的标题,当呈现时,这将抛出一个警报弹出窗口

谢谢

仅供参考,这类漏洞称为“请勿这样做”。如果您可以使用JS创建元素并以编程方式添加属性。@MarcoL我不明白,如果我从json响应构建树,它有什么问题吗?主要问题是当您从一个未转换的字符串向DOM注入标记时。使用JS方法构建DOM节点会使注入方式更加困难。我这样做了….,我并不是简单地存储html>。