그래서 내가 원하는 제목을 게시하지 못하게 막았습니다. 그래서 마침내 제목을 붙였습니다. 내가 가진스크립트가 실행되는 것을 방지하는 방법
는 사용자가 입력 할 수 필드와 자바 스크립트에서 우리는 그런
'${chart.title}'
물건이있다. 작은 따옴표 문자를 제거하여 자바 스크립트로 다시 이스케이프 처리 할 수 없으면 충분합니까? 또는 작은 따옴표 문자로 시작하는 문자열을 닫는 다른 방법이 있습니다.
$ {chart.title}은 사용자가 이전 페이지에 입력 한 제목을 삽입하므로 자연스럽게 제목에 + callMethod() + 'RestOfTitle "과 같은 형식으로 자바 스크립트에 callMethod를 삽입 할 수 있습니다.
덕분에, 딘
입력을 서버에 전달하고 있습니까? 그렇다면 XSS 필터를위한 장소라고 생각합니다. – bfavaretto