个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
24
4
假设我想通过动态 <script> 向我的客户提供一些数据(在第一个响应中,没有延迟)元素。
<script><%= payload %></script>
说 payload是字符串 var data = '</script><script>alert("Muahahaha!")';</script> .结束标记 ( </script> ) 将允许用户将任意脚本注入(inject)我的页面。如何正确清理脚本元素的内容?
我想我可以改变 </script>至 <\/script>和 <!--至 <\!-- .我需要逃避任何其他危险的字符串吗?有没有更好的方法来提供这种“冷启动”数据?
最佳答案
针对数据的非突变进行了编辑。
如果我的解释正确的话。你想阻止用户结束 script在用户提交的字符串中过早标记。这可以为 html 完成,就像您在结束标记中添加反斜杠 <\/script> 所说的那样.在这种情况下,这是您唯一需要担心的转义。您不需要转义 html 注释,因为浏览器会将其解释为 javascript 的一部分。也许如果一些旧的浏览器不解释脚本标签默认为 text/javascript 的类型正确地( language="javascript" 已弃用)添加 type='text/javascript'可能是必要的。
基于 Mike Samuel 的回答 here关于不需要转义 html 注释,我可能错了。但是我无法用 chrome 或 chrome 重现它。
关于html - 清理 <script> 元素内容,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32803709/
24
4
0
前言: 一直是想知道一条SQL语句是怎么被执行的,它执行的顺序是怎样的,然后查看总结各方资料,就有了下面这一篇博文了。 本文将从MySQL总体架构--->查询执行流程--->语句执
哪个更好用或者更方便: ... 或 ... 最佳答案 你真的需要类型属性吗?如果您使用的是 HTML5,则不会。否则,是的。 HTML 4.01 和 XHTML 1.0 指定了 type属性是必需的,
哪个更好用或者更方便: ... 或 ... 最佳答案 你真的需要类型属性吗?如果您使用的是 HTML5,则不会。否则,是的。 HTML 4.01 和 XHTML 1.0 指定了 type属性是必需的,
我在 unix shell 脚本中遇到了一个问题。让我用一个非常简单的例子来问你。 假设,我正在获取用户输入并比较两个数字。 echo "Enter the first number" read a
是否可以在中制作文本?上标?如果是,怎么办? Meraki Baked Goods (Post 7: Dad's 50th) 最佳答案 以下似乎对我有用: Dad's 50ᵗʰ
我有一个转发器控件,其中 部分没有出现。 “Display”存储的代码设置如下: item.Display = " AudioPlayer.embed('ffcedea7-4822-465f-
在许多 .resx 文件中,我遇到了这样的事情: OurLabel 我的问题是:为什么属性name在许多情况下 - 但并非总是如此 - 从 >> 开始? 最佳答案 您在 Winfo
我正在尝试将代码添加到脚本中,但它不起作用 var script= document.createElement('script'); script.type= 'text/javas
我想编写正则表达式来读取 block 内的数据在 HTML 中。作为脚本,我认为空白具有灵 active 。为了使我的正则表达式模式健壮,我必须预测不同数量的空白。也许有比在我的模式中放置许多空白匹
基本上,我讨厌必须更改标题代码以及位于 中的页面标题。 header 中的标签....我可以使用 JavaScript 或 HTML 来自动设置某个 标题中的内容是否等于页面标题? 最佳答案 是的,
我可以使用以下代码提取所有标签。但是,我不知道如何在 之间查看内部。和标签。特别是,假设我只想要这一部分(中间还有更多内容,但我对此不感兴趣): var quoteData
有什么方法可以覆盖无法直接编辑的页面标题,只能在页眉中添加 Javascript? 我不能直接编辑的行是: Title of the page 我能想到的解决这个问题的唯一方法是在我可以通过我的门户后
我正在尝试在 fancybox 的内容方法中加载 javascript 内容。 $('#streaminput').on("click", function() { $('#streaminpu
我试图在 2 小时内解决这个问题,但运气不佳,也许这不是那么技术性,但我需要帮助! 我有一个 AJAX 脚本,需要将 GET 请求发送到同一页面上的 php 脚本。PHP 脚本这样终止 i
如何创建表单来删除标签并删除标签之间的内容或脚本。请任何人为我制作一份表格(我已经问过这个问题,但没有找到任何有用的答案。) 像这样的形式:(此形式仅删除标签,不删除text标签之间的脚本) //
我现在已经为此苦苦挣扎太久了。 我想做的只是简单地堆叠后续内容,就像您将一张 1 列 3 行的表格一样。我试图放弃旧的 HTML 和 CSS 方法,转而采用首选的 HTML5 页面结构方法。 像这样.
我正在尝试为 my chat box 创建通知,当有人向您发送新消息时,会在“谈话”标题旁边看到。我尝试过多种方法,但从来没有成功过。 a busy cat http://goawaymom.com/
我最初并不期望需要调用除 Iframe 之外的任何内容,但显然我错了。这是我的代码,您可以看到为什么它破坏了脚本中的脚本-/脚本有什么方法可以解决这个问题? $ad_blocks = arra
我希望能够在正在播放的视频之上使用全屏文本区域。我以为 position: fixed;顶部:0;可能有效,但没有。 HTML CSS * { box-sizing: border-box;
我找到了how to load external JS file into moodle?但这并不能解决我的问题。 我必须加载一个外部 JS 文件,因为它是 VOD 服务的播放器。 必须在 中调用它
我是一名优秀的程序员,十分优秀!