位置: 编程技术 - 正文

jQuery使用中可能被XSS攻击的一些危险环节提醒(jquery使用方法)

编辑:rootadmin

推荐整理分享jQuery使用中可能被XSS攻击的一些危险环节提醒(jquery使用方法),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:jquery无法使用,使用jquery实现的项目,使用jquery实现的项目,jquery无法使用,jquery用处,在jquery中fadein,在jquery中可用于获取和设置元素属性值的方法是,jquery用处,内容如对您有帮助,希望把文章链接给更多的朋友!

$我们经常使用向 $ 内传入一个字符串的方式来选择或生成 DOM 元素,但如果这个字符串是来自用户输入的话,那么这种方式就是有风险的。

先看一个 DEMO: <img> 元素不会马上被插入到网页的 DOM 中,但这个 DOM 元素已经被创建了,并且暂存在内存里。而对于 <img> 元素,只要设置了它的 src 属性,浏览器就会马上请求 src 属性所指向的资源。我们也可以利用这个特性做图片的预加载。在上面的示例代码中,创建元素的同时,也设置了它的属性,包括 src 属性和 onerror 事件监听器,所以浏览器会马上请求图片资源,显然请求不到,随机触发 onerror 的回调函数,也就执行了 JavaScript 代码。

推荐阅读 $ 的官方文档: DOM 元素,并且会马上插入到页面的 DOM 树中。如果使用 <script> 标签插入了内联 JS 会立即执行。

不安全的输入来源

jQuery使用中可能被XSS攻击的一些危险环节提醒(jquery使用方法)

document 的大多数属性都可以通过全局的 window 对象访问到。加 * 的属性返回的时编码 (urlencode) 后的字符串,需要解码才可能造成威胁。

不安全的操作把可以被用户编辑的字符串,用在以下场景中,都是有隐患的。总体来说,任何把字符串作为可执行的代码的操作,都是不安全的。

1.通过字符串创建函数

(1)eval(2)new Function(3)setTimeout/setInterval2.跳转页面

location.replace/location.assign修改 <script> 标签的 src 属性修改事件监听器总结如果发生在用 jQuery 时被 DOM-XSS 攻击的情况,大多是因为忽视了两个东西:1. 在给$传参数时,对参数来源的把控。2. 用户的输入途径不只有表单,还有地址栏,还可以通过开发者工具直接修改 DOM ,或者直接在控制台执行 JS 代码。

JQuery的常用选择器、过滤器、方法全面介绍 1、jQuery对象转换成DOM对象a.var$cr=$("#cr");//jQuery对象varcr=$cr[0];//DOM对象alert(cr.checked);//检测checkbox是否被选中了b.var$cr=$("#cr");//jQuery对象varcr=$cr.get(0);//DOM对

jQuery获取访问者IP地址的方法(基于新浪API与QQ查询接口) 本文实例讲述了jQuery获取访问者IP地址的方法。分享给大家供大家参考,具体如下:scripttype="text/javascript"src="jquery.min.js"/scriptscripttype="text/javascript"$(docume

jQuery+PHP实现微信转盘抽奖功能的方法 本文实例讲述了jQuery+PHP实现微信转盘抽奖功能的方法。分享给大家供大家参考,具体如下:本文结合实例将使用jQuery和PHP来实现转盘抽奖程序。准备工

标签: jquery使用方法

本文链接地址:https://www.jiuchutong.com/biancheng/387266.html 转载请保留说明!

上一篇:轻松掌握jQuery中wrap()与unwrap()函数的用法(jquery的使用)

下一篇:JQuery的常用选择器、过滤器、方法全面介绍(jquery的选择器都有哪些)

  • 陈列费可以开专票吗
  • 小规模纳税人宾馆房屋租赁税率
  • 备用金要用发票做账吗
  • 小规模纳税人的起征点是多少
  • 营业收入比销售商品收到的现金少
  • 事业单位补发
  • 印刷宣传册是违法吗
  • 个人所得税哪里报税
  • 流动负债占总负债比率较高说明什么
  • 研发费用长期是否可控
  • 用银行存款支付罚款
  • 取得划拨或赠与资产需要缴企业所得税吗?
  • 关于合并商誉应该减值还是摊销的辩论
  • 无偿捐赠设备该如何做账务处理呢?
  • 房地产企业预缴税款最新规定
  • 增值税发票三个点
  • 固定资产清理属于
  • 固定资产赔偿制度
  • 超过180天增票不抵扣财务还可以入账吗?
  • 查税是按基本账户吗
  • 关于纳税人取得的发票
  • 购买机动车怎样抵扣进项税
  • 金蝶软件如何修改凭证号
  • 销售货物没有合同要交印花税吗
  • 公司收到保险公司退保费怎么账务处理
  • 增值税及附加税是什么意思
  • 公司购买基金怎样入账
  • win10玩cf太卡怎么办
  • 员工垫付的钱会计分录
  • gcasInstallHelper.exe是什么进程 作用是什么 gcasInstallHelper进程查询
  • php 调用函数
  • 何为租赁合同
  • php的api接口
  • php yield 异步
  • 销售商品的结转
  • PHP面向对象程序设计调研
  • Yii2中使用asset压缩js,css文件的方法
  • 跨年专票红冲步骤
  • 未形成无形资产计入当期损益的
  • 劳务费800以上扣税标准
  • 学电脑哪个网站比较好
  • mysql数据库介绍官方
  • ubuntu下使用SQLite3的基本命令
  • phpcms 标签
  • 事业单位会计准则与政府会计准则的区别
  • 农产品普通发票进项税抵扣
  • 母公司与子公司的区别
  • 出口运保费是什么费用
  • 材料暂估入库的账务处理
  • 如何填写会计凭证内容
  • 餐饮店赠品
  • 出差补贴应该怎么入账
  • 研发一个月多少钱
  • 商业企业注销应检查哪方面的问题
  • mysql存储引擎面试题
  • mysql的20条优化方法
  • win10右键自动弹出
  • ubuntu20.04怎么安装
  • linux终端记录
  • Windows开关机音乐-哔哩哔哩biibii
  • windows xp输入法不见了怎么办
  • xp sp3精简版
  • windowsxpsp3是什么版
  • 有没有win8系统
  • win10太麻烦了
  • linux命令光标移动到末尾
  • 2016年微软股价
  • unity描边shader
  • js实现用户登录
  • babel es6转es5原理
  • 脚本控制三行三列怎么写
  • es5 教程
  • 如何解决eclipse非正常关闭重打开编译代码
  • 用jquery
  • nodejs await
  • bootstraprow布局
  • node.js express koa
  • 安卓view事件分发
  • python方法有哪些
  • 土地整理费用由谁承担
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设