È jQuery.val () sufficiente per prevenire XSS

Question

È jQuery.val () sufficiente per prevenire XSS

#1 da (5 voti)
#2 da (0 voti)

3

Sta ottenendo il valore di textarea / input con la funzione jQuery .val() XSS-proof?

<html>
    <textarea id="t1"></textarea>
    <script> 
        var toBeDisplayed = $('#t1').val();
        $('#elem').html(toBeDisplayed);
    </script>
</html>

html javascript xss

posta eversor 28.02.2014 - 12:56

fonte

2 risposte

0

Naturalmente è sempre più sicuro eseguire la sanificazione sul lato server prima di visualizzare l'input all'utente. Può essere fatto più rapidamente e facilmente nel browser, ma qualsiasi codice in esecuzione nel browser non dovrebbe essere considerato come interamente considerato attendibile; potrebbe essere modificato o disabilitato.

risposta data 02.03.2014 - 18:38

fonte

Leggi altre domande sui tag html javascript xss

Architettura di rilevamento delle intrusioni Malvagie cattive nella sala server [chiusa]

score 5 · Accepted Answer

Come Gumbo ha menzionato nel suo commento, non importa quello che hai letto, ma importa quello che mostri dopo il fatto. Per rispondere semplicemente alla tua domanda, no. Il .val() di jQuery non ha alcun filtro che ti protegga da XSS. Potresti forse prendere il valore in var toBeDisplayed e quindi eseguire il tuo filtraggio prima che venga ritrasmesso per essere nuovamente visualizzato.