Javascript 如何在href上处理XSS_Javascript_Xss

Javascript 如何在href上处理XSS

javascript

Javascript 如何在href上处理XSS,javascript,xss,Javascript,Xss,我有一个html页面，其中有一个脚本 Test.html <html> <body> <script> alert(document.cookie); </script> </body> </html> Test.html 警报（document.cookie）； href链接 <a href=Test.html target="_blank">Test</a> 点击测试链接，打开

我有一个html页面，其中有一个脚本

Test.html
<html>
<body>
 <script>
  alert(document.cookie);
  </script>
</body>
</html>

Test.html
警报（document.cookie）；

href链接

<a href=Test.html target="_blank">Test</a>

点击测试链接，打开新标签并执行javascript。此脚本有漏洞。

我想禁用all javascript for new选项卡或任何替代解决方案来处理此类XSS漏洞。

我使用iFrame标记加载HTML，即

。iFrame具有阻止所有Java脚本执行的属性。对于IE 9及以下版本，iframe具有做相同工作的属性。

至少可以说，这是一个已知的问题（您似乎知道，因为您知道它被称为XSS）。做一些研究。我找到的所有解决方案都是关于内部HTML页面的。但是这个页面是由外部实体“这个脚本有漏洞”注入的。不，它没有。什么漏洞？哪里如果您认为该代码有问题，请不要编写该代码。这是一个示例脚本，脚本由外部实体注入。用户可以添加任何黑客脚本，并可以攻击我们的软件信息。因此，我想阻止此类有害脚本\@MayurB的执行，然后不要让用户这样做。