15

jQuery の場合:

$('<script>alert("foo");</script>')
// nothing shows up 

// wrap it in a <p> 
$('<script>alert("foo");</script>').wrap('<p>')
// oh no, an alert just popped up.

$('any string what so ever')どのブラウザでも JavaScript を実行できますか?

4

1 に答える 1

21

いいえ $ は XSS セーフではありません。

このトリックを使用して、任意の JavaScript を挿入できます。

$("<img src=x onerror=alert(/xss/.source)>")
于 2013-02-20T02:16:36.610 に答える