Home Sign Up Sign In
bromineMai

在使用后端渲染的 json 给对象传值,有办法进行 xss 吗

  •   
  •   bromineMai · Jul 24, 2018 · 2161 views
    This topic created in 2891 days ago, the information mentioned may be changed or developed.

    示例如下

    <script>
	var user={"name":"\u8fd9\u662f\u4e00\u4e32\u7528\u6237\u63d0\u4f9b\u7684\u5b57\u7b26\u4e32"};
</script>

    其中,name 来源间接为用户输入,可以任意更改。 另外此处使用生产级的 json 库生成 json,并不是手工拼接而来。

  • JSON
  • u4e32
  • script
  • name
    2 replies    2018-07-24 12:11:06 +08:00
    bromineMai
        1
    bromineMai  
    OP
       Jul 24, 2018
    http://jsfiddle.net/d38JD/
    beastk
        2
    beastk  
       Jul 24, 2018 via iPhone
    没办法,编码了
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   926 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 20:12 · PVG 04:12 · LAX 13:12 · JFK 16:12
    ♥ Do have faith in what you're doing.