gpt4 book ai didi

javascript - createTextNode 对 HTML 注入(inject)和 XSS 完全安全吗?

转载 作者:技术小花猫 更新时间:2023-10-29 12:33:44 25 4
gpt4 key购买 nike

我正在开发单页网络应用程序。我通过直接创建 DOM 节点来进行渲染。特别是,通过使用 document.createTextNode("user data") 创建文本节点,将所有用户提供的数据添加到页面中。

这种方法是否避免了任何可能的 HTML 注入(inject)、跨站点脚本 (XSS) 以及用户可能做的所有其他邪恶事情?

最佳答案

它创建了一个纯文本节点,所以是的,就目前而言。

虽然使用不安全的方法从输入到 createTextNode 的任何 channel 获取数据,但可能会造成 XSS 问题。

例如以下将是不安全:

document.createTextNode('<?php echo $_GET['xss']; ?>');

... 但危险来自 PHP echo,而不是 JavaScript createTextNode

关于javascript - createTextNode 对 HTML 注入(inject)和 XSS 完全安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11654555/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com