JavaScript topic - Fototrend Hozzászólások

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Téma összefoglaló

Utoljára frissítve: 2014-02-25 10:20

Fototrend

JavaScript != Java (A JavaScript nem összekeverendő a Javával, két különböző programozási nyelvről van szó!)

Új hozzászólás Aktív témák

#9053 nevemfel senior tag Silεncε #9049

Új Válasz 2021-12-19 00:00:07 #9053
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

nevemfel

senior tag

válasz Silεncε #9049 üzenetére

Igazad van, az innerHTML sem biztonságos:
There is one built-in safeguard in place, though. Just injecting a script element won’t expose you to attacks, because the section of the DOM you’re injecting into has already been parsed and run.

// This won't execute
var div = document.querySelector('#some-div');
div.innerHTML = '<script>alert("XSS Attack");</script>';
JavaScript that runs at a later time, though, will.
// This WILL run
div.innerHTML = '<script deferred>alert("XSS Attack");</script>';
// This will, too
div.innerHTML = '<img src=x onerror="alert(\'XSS Attack\')">';
[link]
Ez a megoldás viszont ígéretesnek tűnik:
If the third-party content is allowed to contain markup, a helper library like DOMPurify will remove any markup that’s not part of a secure whitelist before injecting it.

Új hozzászólás Aktív témák

Aktív témák

Új fizetett hirdetések

Üzleti előfizetők hirdetései

Állásajánlatok

Számítástechnikai értékesítő

Cég: Laptopműhely Bt.

Város: Budapest

Részletek