所谓jQuery.append()、jQuery.html()存在的XSS漏洞

最新推荐文章于 2024-05-14 17:29:15 发布
最新推荐文章于 2024-05-14 17:29:15 发布
阅读量1.1k 收藏 1
点赞数
文章标签: javascript java ViewUI
原文链接:http://www.cnblogs.com/zhaodongyu/p/4304867.html
版权

使用jQuery.append()、jQuery.html()方法时,如果其中内容包含<script>脚本而没有经过任何处理的话,会执行它。

简单的示例代码如下:

var xssStr = '<script>console.log(1)</script>';
$('#test').html(xssStr);

控制台会打印出“1”。

同样的情况也存在于jQuery.append(),因为jQuery.html()内部也是调用jQuery.append()。

既然会存在执行<script>脚本的情况,那么就会有xss风险。

解决办法也很简单,将需要作为参数的字符串进行转义:

var xssEscapeStr = xssStr.replace(/</g, '&lt;').replace(/>/g, '&gt;');

这样输出在页面上的只是单纯的一段<script>字符串,并未执行。

但这并不是jQuery的一个bug,查看jQuery源码,jQuery.append()对于<script>的处理似乎是有意为之。

jQuery文档上是这样解释的:

By design, any jQuery constructor or method that accepts an HTML string — jQuery().append().after(), etc. — can potentially execute code. This can occur by injection of script tags or use of HTML attributes that execute code (for example, <img onload="">). Do not use these methods to insert strings obtained from untrusted sources such as URL query parameters, cookies, or form inputs. Doing so can introduce cross-site-scripting (XSS) vulnerabilities. Remove or escape any user input before adding content to the document.

jQuery.append()等方法在设计的初衷就考虑到了允许执行其中的脚本,所以,jQuery不建议使用如URL、cookie、input输入等内容作为append()的参数。

如果实在有需求,那就转义吧。。。^_^

 

转载于:https://www.cnblogs.com/zhaodongyu/p/4304867.html

aitaozhuo9068
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jquery html方法xss,Jquery封装Ajax过滤XSS
weixin_42283048的博客
07-13 766
Jquery封装Ajax过滤XSS发布时间:2020-06-08 09:39:19来源:51CTO阅读:2000作者:梦朝思夕$(document).ajaxSend(onSend);function onSend(e,xhr,o) {o.data=dataEncode(o.data);};function htmlEncode (str){var s = "";if (str.length ==...
jquery html方法xss,jQuery使用中可能被XSS攻击的一些危险环节提醒
weixin_32657693的博客
07-13 983
$我们经常使用向 $ 内传入一个字符串的方式来选择或生成 DOM 元素,但如果这个字符串是来自用户输入的话,那么这种方式就是有风险的。先看一个 DEMO:http://jsbin.com/duwuzonife/1/edit?html,js,output$("");当用户输入的字符串是像这样的时,虽然这个 元素不会马上被插入到网页的 DOM 中,但这个 DOM 元素已经被创建了,并且暂存在内存里。...
jQuery-XSS漏洞(CVE-2020-11022 CVE-2020-11023)_cve-2020-11023复现
最新发布
2401_85013983的博客
05-14 404
【代码】jQuery-XSS漏洞(CVE-2020-11022 CVE-2020-11023)_cve-2020-11023复现。
jQuery.append()、jQuery.html()存在XSS漏洞
weixin_30245867的博客
02-28 1229
使用jQuery.append()、jQuery.html()方法时,如果其中内容包含<script>脚本而没有经过任何处理的话,会执行它。 简单的示例代码如下: 1 var xssStr = '<script>console.log(1)</script>'; 2 $('#test').html(xssStr); 控制台会打印出“1...
jquery html方法xss,html() vs innerHTML jquery/javascript & XSS attacks
weixin_32821643的博客
07-13 273
I'm testing xss attacks on my own code. The example beneath is a simple box where an user can type whatever he wants. After pressing "test!" button, JS will show the input string into two divs.This i...
html中写jq,jQueryhtml()方法用法实例
weixin_35389904的博客
05-31 436
本文实例讲述了jQueryhtml()方法用法。分享给大家供大家参考。具体分析如下:此方法能够设置和取得匹配元素的HTML内容,原来的内容将会被新设置的内容替换。特别说明:HTML内容就是内容中可以包含HTML标签,并且能够被浏览器渲染。文本内容是先将内容中的HTML预定义字符转换成html字符实体,这样HTML标签就不会被渲染。语法结构一:$(selector).html()此时方法不带参数时...
Jquery XSS.zip
08-24
标题中的“Jquery XSS.zip”表明这是一个关于jQuery与跨站脚本(XSS漏洞相关的压缩包文件。在Web开发中,jQuery是一个广泛使用的JavaScript库,它简化了HTML文档遍历、事件处理、动画和Ajax交互。而XSS,全称Cross...
jQuery.parseHTML() 函数详解
11-29
`jQuery.parseHTML()` 是一个非常重要的 jQuery 函数,主要用于将HTML字符串解析成DOM节点数组,以便于在网页中操作和插入这些元素。这个函数对于处理动态生成的HTML内容或者从服务器获取的HTML片段非常有用。 **...
jQuery在线答题考试系统代码.rar
01-13
通过AJAX请求获取服务器上的试题数据,然后使用`.append()`或`.html()`方法将试题内容插入到页面相应位置。 2. 用户交互:利用jQuery的事件监听功能,可以实现点击选择答案、提交答案、切换题目等交互操作。例如,...
jQuery在线答题考试系统下载.zip
07-11
1. **DOM操作**:jQuery的`$(selector).html()`、`.append()`等方法用于插入、修改或提取HTML元素。 2. **事件处理**:利用`.on()`或`.click()`监听用户行为,如点击题目查看答案或提交答案。 3. **动画效果**:使用...
jquery下操作HTML控件的实现代码
01-19
 $(“#seelctId”).append(“<option xss=removed>”+text+””);//给下拉框增加 一下option选项 (ddlSayTo这是下拉框的ID) $(“#seelctId”).val(optionval);//选中刚才增加的option 2. $(“#seelctId option:...
关于jquery append() html时的小问题的解决方法
12-02
还是先来看一下现象: 代码如下: $(“.main”).append(“haha”); $(“.main”).append(“xixi”); alert($(“.main”).html()); 结果:hahaxixi 一切正常 改一下 代码如下: $(“.main”).append(“<div xss=removed><span>这是span”); $(“.main”).append(“</span></div>”); alert($(“.main”).html()); 结果:<DIV style=”WIDTH:300px;HEIG
jquery html方法xss,jQuery DOM方法中的XSS漏洞演示
weixin_34052529的博客
07-13 531
HTML导入代码模板:XSS vulnerabilities in jQuery DOM methodsInputOutput (native innerHTML)The HTML5 spec states that script tags inserted via innerHTML will not be executed.Injection goes here...Output ($.htm...
Cross Site Scripting DOM (XSS) 攻击jQuery append() 的处理方法
u013247068的博客
08-11 1102
做安全红线使用Fortify工具进行扫描时,jquery append会报Cross Site Scripting DOM风险。解决该问题有两种办法。 一、原生dom方式 使用JavaScript原生dom替换append方法,原生dom会忽略<script>标签。比如,下列代码就会报Cross Site Scripting DOM攻击的问题 <div id=...
jQuery3.0.0-3.5.0版本xss漏洞浅析、复现、修复
anlalu233的博客
07-22 5159
jQuery最新xss漏洞浅析、复现 2.1 环境搭建 对于此漏洞原作者搭建了在线环境,内置了三个xss poc,点击Append via .html()按钮即可触发xss 环境链接:https://vulnerabledoma.in/jquery_htmlPrefilter_xss.html 2.2 源码分析 先用第一个红框模拟个开发环境,虽然三个poc都使用了包含onerror事件的img标签,但其实它们是放在属性或style元素内部,因此会绕过HTML清理器。 审查元素发现,点击之后会多出现一个闭
jQuery 追加元素、拼接元素的方法总结(appendhtml、insertBefore、before等)
Quan的博客
09-08 8576
1. append &amp; appendTo 的功能均为:在被选元素结尾(仍在元素内部)插入指定内容,但是内容和选择器的位置不同    (1) append()方法:     $("#test").append("&lt;p&gt;测试&lt;/p&gt;");  //在id为test元素内部末尾插入&lt;p&gt;测试&lt;/p&gt;   (2) appendTo()方法:  
jquery 点击进入另一个页面把参数传递过去_jQuery最新xss漏洞浅析、复现、修复...
weixin_29011395的博客
12-26 249
1、xss漏洞的形成和危害形成:xss漏洞也叫跨站点脚本编制,形成的原因简单说就是应用程序未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被跨站点脚本编制攻击利用。危害:一旦注入恶意脚本后,攻击者就能够执行各种恶意活动。攻击者可能将私有信息(例如可能包含会话信息的 cookie)从受害者的机器传输给攻击者。攻击者可能以受害者的身份将恶意请求发送到Web 站点,如...
JQueryXSS攻击中的表现
热门推荐
甘焕的博客
11-29 1万+
在前端的XSS攻击中,直接运用innerHTML属性赋值,脚本绝不会被解析,代码如下:var html = '<script>alert(100)</script>'; // 里面的脚本绝不会执行,不会弹出100信息 document.body.innerHTML = html;1. $.html被轻松注入如果改用JQuery来实现,则出现了令人惊讶的结果,JS代码被轻松注入,代码如下:var h
checkmarx检测js中的jQuery安全漏洞
tang31415926的博客
12-29 2377
checkmarx安全漏洞检测问题(javascript)处理
9jquery.min.js:2 Uncaught TypeError: o.call is not a function at w (jquery.min.js:2:1173) at xe (jquery.min.js:2:47649) at He (jquery.min.js:2:58207) at E.fn.init.append (jquery.min.js:2:60413) at toast (index.html:193:23) at HTMLDivElement.<anonymous> (index.html:200:13) at HTMLDivElement.dispatch (jquery.min.js:2:52502) at y.handle (jquery.min.js:2:50100)
06-07
这个错误提示表明在调用函数时出现了类型错误。具体而言,这里的 `o.call` 函数调用不起作用,原因是 `o` 变量不是一个函数。这可能是因为 `o` 变量未被正确初始化,或者 `o` 变量的值被更改了,导致其不再是函数。建议您检查调用 `o.call` 函数的代码,以确定 `o` 变量的值是否正确,并且确保 `o` 变量在使用前已经被正确初始化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值