防止Javascript注入
我有一个使用验证码的网站。 但问题是,使用Javascript注入可以通过以下方式轻松破解:防止Javascript注入,javascript,code-injection,Javascript,Code Injection,我有一个使用验证码的网站。 但问题是,使用Javascript注入可以通过以下方式轻松破解: var res=document.querySelector(".targetWrapper .target").style["background- position"].match(/\d+/); [].map.call(document.querySelectorAll(".draggable"),function(a){ if(a.style["background-position"].
var res=document.querySelector(".targetWrapper .target").style["background- position"].match(/\d+/);
[].map.call(document.querySelectorAll(".draggable"),function(a){
if(a.style["background-position"].match(/\d+/)[0]==res){
return document.querySelector(".captchaAnswer").value=a.id
}
});
如何防止这种情况发生?最简单的解决方案是使用无已知安全缺陷的验证码。我推荐谷歌的。我相信我曾经在某个地方读到过关于reCaptcha被破坏的消息。事实上,我对这个验证码很感兴趣,因为它与我们处理的普通验证码有点不同。不仅仅是这个验证码。我想防止Javascript注入到一个有限的范围内,如果只是reCaptcha不是外部的……这个问题真的很愚蠢。“我正在使用已知安全问题的验证码。我将发布利用该验证码的代码。我如何防止它?”。投票结束“不是一个真正的问题”——这相当于“我的前门上有一把锁。我住在美国爱达荷州某地第四街123号,我在前门垫下放了一把备用钥匙。我如何阻止别人使用它?”任何javascript新手都可以在几秒钟内破解代码。所以无论我是否在这里发布,都没有意义。我只需要注射溶液溶液?使用不同的验证码。否。我不这么认为。它们中的大多数可以通过注射而破裂。或者,使用验证码服务绕过它们。不。我希望阻止javascript注入。阻止地址栏中的javascript有什么解决方案吗?甚至可以这样做吗?然后在这里搜索
[javascript]阻止注入