Javascript 使用作为URL参数传递的jQuery选择器-安全?
我需要使用url参数将选择器传递给jquery 比如:page.php?sel=li.current,%23活动,a[href=%27string%27] 然后,php会重复这些内容,如:Javascript 使用作为URL参数传递的jQuery选择器-安全?,javascript,php,jquery,Javascript,Php,Jquery,我需要使用url参数将选择器传递给jquery 比如:page.php?sel=li.current,%23活动,a[href=%27string%27] 然后,php会重复这些内容,如: $('<?=$request[sel]?>').funct(); $('').funct(); 我的问题是: 1) 这是安全风险吗 2) 如果这是一种风险,我如何安全地这样做 jquery代码除了操纵选择器定义的元素的css之外,没有做什么 谢谢不,不安全。它容易受到攻击 例如,对于sel='
$('<?=$request[sel]?>').funct();
$('').funct();
我的问题是:
1) 这是安全风险吗
2) 如果这是一种风险,我如何安全地这样做
jquery代码除了操纵选择器定义的元素的css之外,没有做什么
谢谢不,不安全。它容易受到攻击
例如,对于
sel=');警报('xssd')$('
警报将显示在用户屏幕上。这将允许攻击者执行任意JavaScript。它可以执行代码将他们注销或在他们的网站上为他们执行操作,或显示提示,要求他们重新验证密码。不,这是不安全的。它容易受到攻击
例如,对于
sel=');警报('xssd')$(“
一个警报将显示在用户的屏幕上。这将允许攻击者执行任意JavaScript。它可以执行代码将他们注销或在他们的网站上为他们执行操作,或者显示提示,要求他们输入密码以重新验证。为谁安全?你到底想防范什么样的威胁我可以公开链接到page.php?sel=li.current');alert('youbeenhackedsukerz')$('g
@user574632-这会很烦人,但它仍然只是客户端,不会对OP的服务器等造成安全风险。@adeneo确信这个例子是无害的,但它为所有类型打开了大门。如果登录用户通过我的链接访问,我可以访问他们的会话数据,更改他们的密码,等等。这个代码是badYes,但是通过你的会话cookie,我可以在网站上模拟你,然后劫持你的帐户。你看到了吗?对谁安全?你到底想防范什么样的威胁?这意味着我可以公开链接到page.php?sel=li.current');alert('youbeenhackedsukerz')$('g
@user574632-这会很烦人,但它仍然只是客户端,不会对OP的服务器等造成安全风险。@adeneo确信这个例子是无害的,但它为所有类型打开了大门。如果登录用户通过我的链接访问,我可以访问他们的会话数据,更改他们的密码,等等。这个代码是badYes,但是通过你的会话cookie,我可以在网站上冒充你,然后劫持你的帐户。你看到了吗?或者更糟糕的是,有人可能会警告Hello Kitty并吓死某人?@adeneo如果是银行网站,它可以将你所有的钱汇到Hello Kitty:)Pffft,我已经把我所有的钱都给了Hello Kitty,所以这没关系。我只是想做一些类似的事情:stru-replace(数组(“;”,“,”,“$”),“,”,“$sel”);
,或者更糟的是,人们可以提醒Hello Kitty,吓死某人?@adeneo如果是银行网站,它可以把你所有的钱汇到Hello Kitty:)Pffft,我已经把我所有的钱都给Hello Kitty了,所以这没关系。我只是想做一些类似的事情:str\u replace(数组(“;”,“,”,“,”),“$”),“,”,$sel)代码>