标签: xss
标签包含 "xss" 的所有文章:
-
安全的使用 innerHTML 插入 DOM
Posted on: 2021年2月4日 at 06:01使用innerHTML插入DOM元素时,如果HTML字符串中包含一些不确定的内容,比如js的代码,就会造成xss攻击。如果是单纯的字符串,最好是使用innerText赋值。如果必须要拼接html标签,使用 htmlEscape 方法拼接字符串,或使用DOMPurify库处理。
标签包含 "xss" 的所有文章:
使用innerHTML插入DOM元素时,如果HTML字符串中包含一些不确定的内容,比如js的代码,就会造成xss攻击。如果是单纯的字符串,最好是使用innerText赋值。如果必须要拼接html标签,使用 htmlEscape 方法拼接字符串,或使用DOMPurify库处理。