codice JS
var id = $(this).data("id");
$.get("/api.php",{id:encodeURIComponent(id)}).done(function(data){
$('<div>'+data+'</div>').appendTo('.parent');
});
api.php:
echo json_encode('<h1>Hi username!<h1><p>text</p>',JSON_HEX_TAG | JSON_HEX_APOS | JSON_HEX_QUOT | JSON_HEX_AMP);
Il contenuto HTML restituito è non da un utente. è già scritto in api.php
La query XSS è vulnerabile? Ho sentito che html()
è il male. Che dire di appendTo()
?