转义js字符串,以便不作为javascript计算
我不知道阻止js字符串对js代码求值的过程是如何调用的(类似于js注入[来自sql注入],我不知道,所以如果你知道,请告诉我)。但我需要做到这一点,你能给我一个建议吗 字符串示例:转义js字符串,以便不作为javascript计算,javascript,code-injection,Javascript,Code Injection,我不知道阻止js字符串对js代码求值的过程是如何调用的(类似于js注入[来自sql注入],我不知道,所以如果你知道,请告诉我)。但我需要做到这一点,你能给我一个建议吗 字符串示例: "name": " /><img src=\"\" onerror=\"javascript:alert('random sad@#! string]')\" />", “名称”:“/>”, 例如,我从一个json中读到这一点,json将被设置为dom元素的标题,当呈现时,这将抛出一个警报弹出窗
"name": " /><img src=\"\" onerror=\"javascript:alert('random sad@#! string]')\" />",
“名称”:“/>”,
例如,我从一个json中读到这一点,json将被设置为dom元素的标题,当呈现时,这将抛出一个警报弹出窗口
谢谢仅供参考,这类漏洞称为“请勿这样做”。如果您可以使用JS创建元素并以编程方式添加属性。@MarcoL我不明白,如果我从json响应构建树,它有什么问题吗?主要问题是当您从一个未转换的字符串向DOM注入标记时。使用JS方法构建DOM节点会使注入方式更加困难。我这样做了….,我并不是简单地存储html>。