jQuery使用中可能被XSS攻击的一些危险环节提醒(jquery使用方法)

编辑：rootadmin

推荐整理分享jQuery使用中可能被XSS攻击的一些危险环节提醒(jquery使用方法)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:jquery无法使用,使用jquery实现的项目,使用jquery实现的项目,jquery无法使用,jquery用处,在jquery中fadein,在jquery中可用于获取和设置元素属性值的方法是,jquery用处,内容如对您有帮助，希望把文章链接给更多的朋友！

$我们经常使用向 $ 内传入一个字符串的方式来选择或生成 DOM 元素，但如果这个字符串是来自用户输入的话，那么这种方式就是有风险的。

先看一个 DEMO： <img> 元素不会马上被插入到网页的 DOM 中，但这个 DOM 元素已经被创建了，并且暂存在内存里。而对于 <img> 元素，只要设置了它的 src 属性，浏览器就会马上请求 src 属性所指向的资源。我们也可以利用这个特性做图片的预加载。在上面的示例代码中，创建元素的同时，也设置了它的属性，包括 src 属性和 onerror 事件监听器，所以浏览器会马上请求图片资源，显然请求不到，随机触发 onerror 的回调函数，也就执行了 JavaScript 代码。

推荐阅读 $ 的官方文档： DOM 元素，并且会马上插入到页面的 DOM 树中。如果使用 <script> 标签插入了内联 JS 会立即执行。

不安全的输入来源

document 的大多数属性都可以通过全局的 window 对象访问到。加 * 的属性返回的时编码（urlencode）后的字符串，需要解码才可能造成威胁。

不安全的操作把可以被用户编辑的字符串，用在以下场景中，都是有隐患的。总体来说，任何把字符串作为可执行的代码的操作，都是不安全的。

1.通过字符串创建函数

（1）eval（2）new Function（3）setTimeout/setInterval2.跳转页面

location.replace/location.assign修改 <script> 标签的 src 属性修改事件监听器总结如果发生在用 jQuery 时被 DOM-XSS 攻击的情况，大多是因为忽视了两个东西：1. 在给$传参数时，对参数来源的把控。2. 用户的输入途径不只有表单，还有地址栏，还可以通过开发者工具直接修改 DOM ，或者直接在控制台执行 JS 代码。

JQuery的常用选择器、过滤器、方法全面介绍 1、jQuery对象转换成DOM对象a.var$cr=$("#cr");//jQuery对象varcr=$cr[0];//DOM对象alert(cr.checked);//检测checkbox是否被选中了b.var$cr=$("#cr");//jQuery对象varcr=$cr.get(0);//DOM对

jQuery获取访问者IP地址的方法(基于新浪API与QQ查询接口) 本文实例讲述了jQuery获取访问者IP地址的方法。分享给大家供大家参考，具体如下：scripttype="text/javascript"src="jquery.min.js"/scriptscripttype="text/javascript"$(docume

jQuery+PHP实现微信转盘抽奖功能的方法本文实例讲述了jQuery+PHP实现微信转盘抽奖功能的方法。分享给大家供大家参考，具体如下：本文结合实例将使用jQuery和PHP来实现转盘抽奖程序。准备工