JavaScript topic - Fototrend Hozzászólások

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Fototrend

Frissítve: 2014-02-25 10:20 Téma összefoglaló

Fototrend

JavaScript != Java (A JavaScript nem összekeverendő a Javával, két különböző programozási nyelvről van szó!)

Új hozzászólás Aktív témák

nevemfel senior tag

#9053
#9049 Silεncε
2021-12-19 00:00:07

Új Válasz
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

nevemfel

senior tag

#9049 Silεncε

Igazad van, az innerHTML sem biztonságos:
There is one built-in safeguard in place, though. Just injecting a script element won’t expose you to attacks, because the section of the DOM you’re injecting into has already been parsed and run.

// This won't execute
var div = document.querySelector('#some-div');
div.innerHTML = '<script>alert("XSS Attack");</script>';
JavaScript that runs at a later time, though, will.
// This WILL run
div.innerHTML = '<script deferred>alert("XSS Attack");</script>';
// This will, too
div.innerHTML = '<img src=x onerror="alert(\'XSS Attack\')">';
[link]
Ez a megoldás viszont ígéretesnek tűnik:
If the third-party content is allowed to contain markup, a helper library like DOMPurify will remove any markup that’s not part of a secure whitelist before injecting it.

Új hozzászólás Aktív témák

Aktív témák

Új fizetett hirdetések

Üzleti előfizetők hirdetései

Állásajánlatok

Számítástechnikai értékesítő

Cég: Laptopműhely Bt.

Város: Budapest

Részletek