在使用后端渲染的 json 给对象传值,有办法进行 xss 吗

2018-07-24 11:36:06 +08:00
 bromineMai

示例如下

<script>
	var user={"name":"\u8fd9\u662f\u4e00\u4e32\u7528\u6237\u63d0\u4f9b\u7684\u5b57\u7b26\u4e32"};
</script>

其中,name 来源间接为用户输入,可以任意更改。 另外此处使用生产级的 json 库生成 json,并不是手工拼接而来。

1537 次点击
所在节点    分享发现
2 条回复
bromineMai
2018-07-24 11:56:34 +08:00
beastk
2018-07-24 12:11:06 +08:00
没办法,编码了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/473608

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX