关于js注入无效的问题:配置报错 -问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

关于js注入无效的问题:配置报错 

kun坤 2020-06-02 17:19:30 23

自己建了一个表格,连接了数据库,可以做增、删、查、改。我向表格中新增了一条带有js代码的数据,例如“<script>alert(1)</script>”,添加成功后  刷新数据  ,表格上只是把”<script>alert(1)</script>”显示出来了,并没有弹出‘1’。这是为啥?表格中的tr结构是用模板引擎生成的,这应该没关系吧,我直接将“<script>alert(1)</script>”放入td中是有弹出“1”的,为什么我写入数据库却是原样输出呢?另附图一张。

JavaScript 数据库
分享到
取消 提交回答
全部回答(1)
  • kun坤
    2020-06-02 17:19:36

    去看看xss攻击原理吧    就是楼主说的这个东西     正常情况下  这种默认都是会被模板引擎处理掉的   但是一般有参数可以设置不转义输出  但是要显式传入参数  ######你的模板引擎帮你过滤了######<script>标签已被转换为 <script> 没错,html标签都被转换了,这是为了防止脚本代码注入。 数据表格里边如果能通过显示数据的方式注入脚本代码,想想都觉得危险啊……

    0 0
数据库
使用钉钉扫一扫加入圈子
+ 订阅

分享数据库前沿,解构实战干货,推动数据库技术变革

推荐文章
相似问题