10
我正在处理单个页面的webapp。我通过直接创建DOM节点来进行渲染。特别是,通过使用document.createTextNode("user data")创建文本节点,可以将所有用户提供的数据添加到页面中。是否从HTML注入和XSS完全安全的createTextNode?
这种方法避免了HTML注入,跨站点脚本(XSS)以及用户可能做的所有其他恶意事件的可能性吗?
A
回答
9
它创建一个纯文本节点,所以是,只要它走了。
虽然可以通过使用不安全的方法从输入到createTextNode的任何通道获取数据,但可能会创建XSS问题。
例如以下是不安全:
document.createTextNode('<?php echo $_GET['xss']; ?>');
...但其危险性是从PHP echo,而不是JavaScript的createTextNode。
相关问题
- 1. SqlCommand.Parameters.AddWithValue注入是否安全?
- 2. ConcurrentHashMap是否完全安全?
- 3. 我是否从mysql注入安全?
- 4. GWT HTML Widget XSS安全
- 5. jQuery安全注入html
- 6. '&'角色是否对xss攻击安全?
- 7. addslashes()是否安全以阻止HTML属性中的XSS?
- 8. SQL注入:这行是否安全?
- 9. 在SQL注入方面是否安全?
- 10. pthread_cond_wait是否完全信号安全?
- 11. 注射是否安全?
- 12. HTML编码是否阻止XSS安全漏洞?
- 13. 是FieldByName注入安全吗?
- 14. XSS安全问题
- 15. XSS表单安全
- 16. 脚本的这部分是否安全的从SQL注入?
- 17. 是否使用URL从隐藏域XSS安全中调用AJAX?
- 18. 安全嵌入JavaScript和HTML
- 19. 该存储过程是否安全的从sql注入?
- 20. ASP.NET:我在这种情况下从SQL注入和XSS安全吗?
- 21. '安全'DLL注入
- 22. 此代码源是否会从SQL注入中“安全”?
- 23. 这段代码是否安全(来自SQL注入和其他)?
- 24. mysql在PDO中连接(xss并注入安全)
- 25. 休眠和线程安全:注入的SessionFactory线程安全吗?
- 26. PHP注册表单 - 安全和安全?
- 27. Symfony2:安全/安全登录和注销
- 28. Django XSS安全降价
- 29. 这是GET安全的SQL注入?
- 30. 我安全的SQL注入?
我不熟悉PHP。那个例子是否允许用户从其他地方请求数据并将其作为文本插入到页面上? – 2012-07-25 16:53:04
@breischl - PHP从URL的查询字符串(这是外部数据)获取输入,并将其放入输出而不会转义。 – Quentin 2012-07-25 16:54:02
但是它仍然会以纯文本的形式输出,不管它在哪里,对吧?所以你不能让浏览器做任何事情,除了显示一些文本? – 2012-07-25 16:57:08