zoukankan      html  css  js  c++  java

  • 网上流行的JS HTMLDecode不安全

    网上很多文档提到一个JS利用DOM特性作HTMLDecode的方法:

    function HTMLDecode(strEncodeHTML)
    {
            var div = document.createElement('div');
        div.innerHTML     = strEncodeHTML;
            return div.innerText;
    }

    这个函数是不安全的,如果参数带有用户输入,就可能导致执行JS代码:

    function HTMLDecode(strEncodeHTML)
    {
            var div = document.createElement('div');
        div.innerHTML     = strEncodeHTML;
            return div.innerText;
    }

    HTMLDecode(    "<img src=1 onerror=alert(1) />");


    有人很傻很天真的以为,这个没有被appendChild到dom树的元素,应该不会执行。
  • 相关阅读:
    Mono 1.1.16
    Minimum Profit 3.3.18a
    PenguinTV 1.90
    Beagle 0.2.7
    Bonfire 0.4.0
    wxDownload Fast 0.4.5
    Network Configurator 0.1.8
    VMware Server 1.0
    MonoDevelop 0.11
    GTKsopcast 0.2.8
  • 原文地址:https://www.cnblogs.com/luoluo/p/1414123.html
Copyright © 2011-2022 走看看