表单初始赋值导致的xss怎么搞的

提问 未结
5 128
塰蠈
塰蠈 2018-7-12
悬赏:20飞吻
版本:layui 浏览器:

我给字段付的值为"})</script><script>alert('ssss')</script>
结果
只能在后台表单提交时验证吗?前端在解析时没做什么处理吗?
回帖
  • 塰蠈
    2018-7-12
    。。。。。@贤心
    0 回复
  • 贤心
    贤心 (管理员)
    2018-7-12
    @star1029 你帮忙看一下
    0 回复
  • star1029
    2018-7-13
    @塰蠈 你可以设置成,在失去光标的时候先进行一轮验证
    0 回复
  • 塰蠈
    2018-7-13
    @star1029 前端验证要有但是并不可靠,我的意思是在给表单初始化赋值时没有对特殊标记进行转义吗?
    如果没有我只能在后台加拦截器进行转义了
    0 回复
  • 塰蠈
    2018-7-13
    好吧,问题解决了
    //表单初始赋值
    form.val('detail', {
    "qq": "<c:out value="${qq}"></c:out>"
    });

    0 回复