如何解决javascript代码的xss漏洞_Javascript_C#_Jquery_Asp.net_Jscript

如何解决javascript代码的xss漏洞

javascript c# jquery asp.net

如何解决javascript代码的xss漏洞,javascript,c#,jquery,asp.net,jscript,Javascript,C#,Jquery,Asp.net,Jscript,我在网站上做了安全扫描后得到了以下回复，工具显示如下：方法lambda（）将未经验证的数据发送到以下行的web浏览器：我很困惑，这怎么办 .html("$ " + formatMoney($("#financial_sales_price").val() - total_subtotals_val)); 是否有人可以帮助解决此漏洞。您应该使用.text（），而不是.html（）它速度较慢，但更安全——任何可能的html数据都将显示为标识，而不是作为html激发。请参见此处的示例： $（

我在网站上做了安全扫描后得到了以下回复，工具显示如下：

方法lambda（）将未经验证的数据发送到以下行的web浏览器：我很困惑，这怎么办

.html("$ " + formatMoney($("#financial_sales_price").val() - total_subtotals_val));

是否有人可以帮助解决此漏洞。

您应该使用

.text（）

，而不是

.html（）

它速度较慢，但更安全——任何可能的html数据都将显示为标识，而不是作为html激发。请参见此处的示例：

$（函数（）{
$（“#div1”）.html（'hello'）；
$（“#div2”）.text（'hello'）；
$（“#div3”）.html（'a href=“example.html”Link/a'）；
$（“#div4”）.text（'a href=“example.html”Link/a'）；
});


1.解析到数字
        .html("$ " + 
    formatMoney(
    parseFloat($("#financial_sales_price").val())
     - parseFloat(total_subtotals_val)
));

2.使用xss过滤器模块
除非您要添加的字符串中确实有HTML元素，否则请使用text（）
而不是太清楚。请您更清楚一点@rorymcrossanta看看我放置的代码below@lancer将.html
更改为.text