爲什麼會收到警告框在option.text()很容易受到XSS在我的例子小提琴
$(function() {
$('#users').each(function() {
var select = $(this);
var option = select.children('option').first();
select.after(option.text());
select.hide();
});
});
<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
<select id="users" name="users">
<option value="bad"><script>alert('xss');</script></option>
</select>
雖然我已經中選擇文本編碼版本(<script>alert('xss');</script>)
?
我想阻止顯示警報,因爲我在選項文本中編碼了html。可以有人告訴我我錯過了什麼?
https://jsfiddle.net/hf1fbhmg/
問題尋求幫助調試(「?爲什麼不是這個代碼工作」)必須包括所期望的行爲,一個特定的問題或錯誤,並在最短的代碼要重現**在這個問題本身** – Quentin
通過隱藏(不存在)代碼塊內的鏈接來避開jsfiddle限制是一個不可以的 –
我不知道如何插入鏈接。道歉。 – user3501278