-
本版专家分:269结帖率 97.06% -
某网站的评论功能,我输入的内容是 pp<script type='text/javascript'>alert('654');</script>pp
显示效果如下:
![]()
-
本版专家分:43132
-
-
黄花
2010年12月 Web 开发大版内专家分月排行榜第二
2010年11月 Web 开发大版内专家分月排行榜第二
-
-
你查看源代码。 肯定被转义了
-
本版专家分:43132
-
-
黄花
2010年12月 Web 开发大版内专家分月排行榜第二
2010年11月 Web 开发大版内专家分月排行榜第二
-
-
ajax 动态 innerHTML
js 也不会被执行
-
本版专家分:145288
-
- GitHub 绑定GitHub第三方账户获取
-
-
进士
2018年总版新获得的技术专家分排名前十
2017年 总版技术专家分年内排行榜第七
-
- 银牌 2019年1月 总版技术专家分月排行榜第二
-
-
铜牌
2018年10月 总版技术专家分月排行榜第三
2018年9月 总版技术专家分月排行榜第三
2018年8月 总版技术专家分月排行榜第三
-
-
人家网站肯定不能让你输入代码执行,不然就能直接给网站挂木马和恶意广告,或者来个 while(true){} 死循环让页面打不开。
-
本版专家分:6540
-
- 蓝花 2016年9月 Web 开发大版内专家分月排行榜第三
-
-
转义用户输入的任何数据就是专门对付那些不怀好意的人
-
本版专家分:269
-
哦哦,估计是这个原因了
-
本版专家分:269
-
不过,我已经把它搞坏了, 页面全部跳到百度
-
本版专家分:1288 -
如何搞得,应该是不执行js啊
-
本版专家分:51354
-
- 黄花 2013年11月 Web 开发大版内专家分月排行榜第二
-
- 蓝花 2013年10月 Web 开发大版内专家分月排行榜第三
-
-
用js去拿cookie 然后可以盗号了
-
版主本版专家分:395905
-
- 探花 2017年 总版技术专家分年内排行榜第三
-
-
进士
2018年总版新获得的技术专家分排名前十
2013年 总版技术专家分年内排行榜第五
-
-
金牌
2018年5月 总版技术专家分月排行榜第一
2018年4月 总版技术专家分月排行榜第一
2018年2月 总版技术专家分月排行榜第一
2017年8月 总版技术专家分月排行榜第一
-
-
银牌
2018年3月 总版技术专家分月排行榜第二
2017年11月 总版技术专家分月排行榜第二
2016年2月 总版技术专家分月排行榜第二
2014年2月 总版技术专家分月排行榜第二
2013年4月 总版技术专家分月排行榜第二
-
-
设置容器innerHTML是不会执行的,要自己用正则提取script中的代码用eval执行下
或者用jquery的html方法,会自动帮你分析里面的脚本然后执行
