gpt4 book ai didi

javascript - 使用作为 URL 参数传递的 jQuery 选择器 - 安全吗?

转载 作者:行者123 更新时间:2023-11-30 10:12:24 25 4
gpt4 key购买 nike

我需要使用 url 参数将选择器传递给 jquery。

点赞:page.php?sel=li.current,%23active,a[href=%27string%27]

然后这些由 php 回应:

$('<?=$request[sel]?>').funct();

我的问题是:

1) 这是否存在安全风险?

2) 如果这样做有风险,我怎样才能安全地这样做?

除了操纵由选择器定义的元素的 css 之外,jquery 代码没有做太多其他事情。

谢谢

最佳答案

不,这不安全。它容易受到 XSS attack vector 的攻击.

例如,对于 sel=');alert('xssd')$(' 将在用户屏幕上显示警报。这将允许攻击者执行任意 JavaScript。它可以执行代码将他们注销或在他们的网站上为他们执行操作,或显示提示要求他们重新验证密码。

关于javascript - 使用作为 URL 参数传递的 jQuery 选择器 - 安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25770635/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com