如何解决javascript代码的xss漏洞
我在网站上做了安全扫描后得到了以下回复,工具显示如下: 方法lambda()将未经验证的数据发送到以下行的web浏览器: 我很困惑,这怎么办如何解决javascript代码的xss漏洞,javascript,c#,jquery,asp.net,jscript,Javascript,C#,Jquery,Asp.net,Jscript,我在网站上做了安全扫描后得到了以下回复,工具显示如下: 方法lambda()将未经验证的数据发送到以下行的web浏览器: 我很困惑,这怎么办 .html("$ " + formatMoney($("#financial_sales_price").val() - total_subtotals_val)); 是否有人可以帮助解决此漏洞。您应该使用.text(),而不是.html() 它速度较慢,但更安全——任何可能的html数据都将显示为标识,而不是作为html激发。请参见此处的示例: $(
.html("$ " + formatMoney($("#financial_sales_price").val() - total_subtotals_val));
是否有人可以帮助解决此漏洞。您应该使用.text()
,而不是.html()
它速度较慢,但更安全——任何可能的html数据都将显示为标识,而不是作为html激发。请参见此处的示例:
$(函数(){
$(“#div1”).html('hello');
$(“#div2”).text('hello');
$(“#div3”).html('a href=“example.html”Link/a');
$(“#div4”).text('a href=“example.html”Link/a');
});代码>
1.解析到数字
.html("$ " +
formatMoney(
parseFloat($("#financial_sales_price").val())
- parseFloat(total_subtotals_val)
));
2.使用xss过滤器模块
除非您要添加的字符串中确实有HTML元素,否则请使用text()
而不是太清楚。请您更清楚一点@rorymcrossanta看看我放置的代码below@lancer将.html
更改为.text