1

ユーザー入力が他のユーザーに表示される場所がいくつかあります。

入力ボックス。

<p>タグ間のその入力ボックスからの値。

<a>タグ間のその入力ボックスからの値。

ほとんどの場合、ユーザーが表示名を入力するフォームであり、次のページで2つのタグの間に名前が表示される2つの場所が表示されます。特定のユーザーは、戻ってこのテキストボックスを編集できます。

ユーザーが「helloworld」と入力すると、次のユーザーには「helloworld」が事前入力されたテキストボックスと<a href="#">hello world</a> <p>hello world</p>

JavaScriptやJavaScriptのセキュリティについてはあまり詳しくありません。これは何らかの形で攻撃に対して脆弱ですか?もしそうなら、私はそれを防ぐために何をすべきですか?

4

2 に答える 2

1

はい、これによりXSSの脆弱性が発生する可能性があります。

.innerTextユーザーコンテンツを入力するノードのプロパティを使用する必要があります。

var node = document.getElementById('foo');
node.innerText = 'whatever the user entered';
于 2013-02-28T15:20:57.947 に答える
0

はい、これはXSS攻撃に対して脆弱です。https://www.owasp.org/index.php/Top_10_2010-A2をご覧ください。

于 2013-02-28T15:18:20.323 に答える