0

dataサーバーから返されるデータは、XSS の影響を受けやすくなっています。のようなものを使用してクライアントにデータを送信する前に、サーバーでデータをサニタイズする必要がありますかhtmlspecialchar()、または$.get()XSS を緩和しますか? ありがとうございました

$.get('getData.php',
function (data){
    $('#div1').text(data.div1);
    $('#div2').html(data.div2);
    $('#textarea').val(data.textarea);
},'json');
4

1 に答える 1

0
$('#div1').text(data.div1);

要素のテキストを変更しているため、これは XSS の影響を受けません。これにより、何に使用するかが決まりますhtmlspecialchars

$('#div2').html(data.div2);

これは、テキストではなくhtmlを変更しているためです。そのため、応答がわからない場合、誰かが<script>そこにタグを付けて、ページで任意のコードを実行する可能性があります。

$('#textarea').val(data.textarea);

テキスト領域の内容を変更するので、それも問題ありません。

于 2013-05-28T13:16:59.553 に答える