关于前端的javascript -- 两个凡是

宏哥 发布于 2016/09/29 19:10
阅读 830
收藏 0

实际上, 

前端只有一个可用的框架,就是jquery.

bootstrap是一个UI的模型,都算不上是框架

加载中
2
Narky
Narky

jquery能算框架?你不要搞笑了,jquery充其量只能算是一个扩展集

在你公司内部说说可以,反正大家都听你的

1
张亦俊
张亦俊

关于前端宏哥你还是闭嘴吧,各路jquery插件偷偷给你XJB reflow,把网页搞得乌烟瘴气,奇卡无比。

各路豪侠花式$(...).html(...),哪边xss了都不知道,一份js代码,一半是散落的html,看着就难受。

1
江湖小火_roy
江湖小火_roy
jquery基本可以入土为安了。。。。
0
淘淘我的小宝宝
淘淘我的小宝宝
嗯,看到同事鼓捣angularjs我就偷偷的用freemark静态化了好几个查询页
0
--0_0--
--0_0--
jquery基本可以入土为安了。。。。,补充一句,当年我 写PHP的时候的确用JQ,后面就不做了
0
一只小桃子
一只小桃子
我还用jquery,angulars和react都不太懂。感觉麻烦
0
eechen
eechen

引用来自“张亦俊”的评论

关于前端宏哥你还是闭嘴吧,各路jquery插件偷偷给你XJB reflow,把网页搞得乌烟瘴气,奇卡无比。

各路豪侠花式$(...).html(...),哪边xss了都不知道,一份js代码,一半是散落的html,看着就难受。

<div id="ajax"></div>
$.ajax({
    url: "index.php",
    success: function(data){
        $("#ajax").html(data); //不会发生注入
        $("#ajax").html('\u003cimg src=1 onerror=alert(/xss/)\u003e'); //会发生注入
        //JS会把表达式中的Unicode字符\u003c和\u003e转换成<和>输出,所以会发生注入.
    }
});

index.php:
echo '\u003cimg src=1 onerror=alert(/xss/)\u003e';
0
红薯官方
红薯官方

引用来自“eechen”的评论

引用来自“张亦俊”的评论

关于前端宏哥你还是闭嘴吧,各路jquery插件偷偷给你XJB reflow,把网页搞得乌烟瘴气,奇卡无比。

各路豪侠花式$(...).html(...),哪边xss了都不知道,一份js代码,一半是散落的html,看着就难受。

<div id="ajax"></div>
$.ajax({
    url: "index.php",
    success: function(data){
        $("#ajax").html(data); //不会发生注入
        $("#ajax").html('\u003cimg src=1 onerror=alert(/xss/)\u003e'); //会发生注入
        //JS会把表达式中的Unicode字符\u003c和\u003e转换成<和>输出,所以会发生注入.
    }
});

index.php:
echo '\u003cimg src=1 onerror=alert(/xss/)\u003e';

伪大神,误人子弟啊!

honey_fansy
honey_fansy
回复 @web4j : 我就说嘛,他连最基础的代码在客户端执行还是在服务端执行都还搞不清楚,他还真让我见识了,不服还真不行~
eechen
eechen
回复 @web4j : OWASP项目(Open Web Application Security Project)对XSS的详细介绍: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet 不服,找一种能绕过htmlspecialchars替换的XSS来让大家见识见识.
红薯官方
红薯官方
回复 @honey_fansy : 嗯,看不过去说$('selector').html(content) 不会XSS这么个说法,误导初学者。 嗯,eechen确实很吊的PHP,但我要说我就是用JAVA开发ERP、CRM、BPM...,从头到尾负责架构的,JSOUP我用得不多。
honey_fansy
honey_fansy
回复 @web4j : 没用的,他在完全不知道你用什么语言的情况下就给你定义为Javaer,专门为了黑而黑的,我就关注他天天看他笑话而已,别这么认真
红薯官方
红薯官方
回复 @eechen : 够了吧eechen!别说我不知道XSS。特殊字符转义就能过滤掉XSS,你拿来的自信?
下一页
返回顶部
顶部