Home Sign Up Sign In
bromineMai

在使用后端渲染的 json 给对象传值,有办法进行 xss 吗

  •   
  •   bromineMai · Jul 24, 2018 · 2164 views
    This topic created in 2893 days ago, the information mentioned may be changed or developed.

    示例如下

    <script>
	var user={"name":"\u8fd9\u662f\u4e00\u4e32\u7528\u6237\u63d0\u4f9b\u7684\u5b57\u7b26\u4e32"};
</script>

    其中,name 来源间接为用户输入,可以任意更改。 另外此处使用生产级的 json 库生成 json,并不是手工拼接而来。

  • JSON
  • u4e32
  • script
  • name
    2 replies    2018-07-24 12:11:06 +08:00
    bromineMai
        1
    bromineMai  
    OP
       Jul 24, 2018
    http://jsfiddle.net/d38JD/
    beastk
        2
    beastk  
       Jul 24, 2018 via iPhone
    没办法,编码了
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1220 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:30 · PVG 01:30 · LAX 10:30 · JFK 13:30
    ♥ Do have faith in what you're doing.