关于js注入无效的问题

酱油白 发布于 2017/04/22 13:26
阅读 67
收藏 0

自己建了一个表格,连接了数据库,可以做增、删、查、改。我向表格中新增了一条带有js代码的数据,例如“<script>alert(1)</script>”,添加成功后  刷新数据  ,表格上只是把”<script>alert(1)</script>”显示出来了,并没有弹出‘1’。这是为啥?表格中的tr结构是用模板引擎生成的,这应该没关系吧,我直接将“<script>alert(1)</script>”放入td中是有弹出“1”的,为什么我写入数据库却是原样输出呢?另附图一张。

加载中
0
您的好友
您的好友

去看看xss攻击原理吧    就是楼主说的这个东西     正常情况下  这种默认都是会被模板引擎处理掉的   但是一般有参数可以设置不转义输出  但是要显式传入参数  

0
开源中国首席罗纳尔多
开源中国首席罗纳尔多

你的模板引擎帮你过滤了

0
Kit_lee
Kit_lee

<script>标签已被转换为 &lt;script&gt; 没错,html标签都被转换了,这是为了防止脚本代码注入。

数据表格里边如果能通过显示数据的方式注入脚本代码,想想都觉得危险啊……

返回顶部
顶部