0
裏面我有這樣的代碼:如何執行JavaScript的jQuery選擇
$('.' + InjectionPoint).removeClass('classname');
其中InjectionPoint是部分由最終用戶控制的,顯然這個代碼是容易DOM XSS,但是否真的利用的?以及攻擊向量應該如何?
感謝
A
回答
4
在你在你的基礎的信念,「這個代碼很容易受到DOM XSS」?
在此基礎上的答案,那是在舊版本的jQuery的事實,但不得遲於1.6.3任何版本:https://stackoverflow.com/a/11170073/877682
0
這肯定是受到XSS。看看這篇描述攻擊者如何去做的文章:https://ttmm.io/tech/jquery-xss/
基本上,作者建議您使用document.querySelectorAll()而不是jQuery選擇器函數。有人評論說這對於jQuery 1.7及以上版本來說不是問題,但不要在此引用我的意思。
總的來說,信任你的用戶給你的東西從來都不是好主意。
相關問題
- 1. 如何執行jQuery代碼depening上的選項選擇
- 2. 如何執行Postgres裏選擇行(*)
- 3. JavaScript引擎如何選擇接下來要執行的內容?
- 4. 執行從HTML javascript函數選擇
- 5. 選擇頁面加載執行JavaScript
- 6. 執行或不執行基於表格選擇的Jquery腳本
- 7. 在jQuery中執行選擇$(this)
- 8. Javascript - 如何選擇性地執行函數/語句
- 9. 如何在jQuery中爲元素選擇器執行OR操作?
- 10. 如何停止執行選擇器?
- 11. 如何執行插入到選擇
- 12. 如何執行proceduce選擇SQL
- 13. Jquery Javascript HTML選擇
- 14. 如何選擇表jQuery中的行?
- 15. 如何選擇JavaScript的選擇框?
- 16. 選擇 - jQuery的/ JavaScript的
- 17. 如何選擇特定的Primefaces p:選項卡時執行javascript函數
- 18. JQuery的選擇二 - 如何選擇
- 19. 選擇二jQuery的 - 如何選擇框
- 20. 執行中的jQuery/JavaScript的
- 21. 的JavaScript - jQuery Mobile的執行
- 22. 選擇使用javascript/jQuery的
- 23. 的JavaScript對象jQuery選擇
- 24. 的Javascript/jQuery的,如果所有選擇
- 25. 如何選擇jQuery的自定義複選框,並執行操作
- 26. InvalidCastException的執行選擇
- 27. 如何使用jQuery和JavaScript在行中選擇特定列?
- 28. 執行JavaScript的AJAX與jQuery
- 29. 如何在javascript中選擇列表框選項時執行腳本?
- 30. 使用Javascript執行程序從選擇標記中進行選擇
這是一個網絡安全掃描器,報告了這個問題,但我認爲你是正確的,它不是可利用的,但是沒有一種方法可以在選擇器中評估表達式,即使只是爲了開發目的 – ksr