Почему эта атака с помощью javascript не работает?
Я пытаюсь найти правильный способ обезопасить свой Javascript от атак внедрения кода.
Итак, я создал то, что я думал, будет успешной инъекцией кода:
document.getElementById("result").innerHTML = "hello <script> alert(0) <\/script> kuku";
Оценка document.getElementById("result").innerHTML
в отладчике показывает, что он прошел:
"hello <script> alert(0) </script> kuku"
Так почему же нет оповещения?
1 ответ
Настройка .innerHTML
к содержанию, которое включает <script>
блоки никогда не вызовут оценку встроенного кода. Вот только как .innerHTML
работает.