gpt4 book ai didi

html - GWT HTML Widget XSS 安全

转载 作者:太空宇宙 更新时间:2023-11-04 15:34:49 35 4
gpt4 key购买 nike

这可能是一个菜鸟问题(很有可能),但根据官方开发人员文档,GWT 的 HTML 小部件不是 XSS 安全的,在嵌入自定义 HTML/脚本文本时必须谨慎行事。

所以我想我的问题是,为什么会这样:

HTML testLabel = new HTML("dada<script type='text/javascript'>document.write('<b>Hello World</b>');</script>");

不显示 javascript 弹出窗口?如果不知何故,GWT 的 HTML 小部件确实可以防止 XSS 攻击,那么在什么类型的情况下它不能(所以我可以知道会发生什么)?

最佳答案

GWT 文档包含很少的 articles关于安全性(包括使用 SafeHtml 处理 XSS)。

您的示例不起作用,因为通过 innerHTML 定义的脚本不会在 Chrome/Firefox 中执行(我认为使用 defer 属性的 IE 有一些解决方法) .

但是你不应该依赖这个浏览器限制。所以最好使用 SafeHtml 并始终验证用户的输入。

关于html - GWT HTML Widget XSS 安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10139491/

35 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com