fancybox를 사용하여 팝업 창에 사용자 생성 제목이있는 사진이 표시됩니다.jquery에서 이스케이프 된 제목 속성의 이스케이프 처리가 해제됩니다.
console.log($("<a title=\"<script>alert('test')</script>\">").attr('title'));
출력 : <script>alert('test')</script>
console.log($("<p><script>alert('test')</script></p>").html());
출력 : <script>alert('test')</script>
console.log($("<p><script>alert('test')</script></p>").text());
출력 : <script>alert('test')</script>
내 문제는 짹 le는 obj.attr('title')
을 호출하여 이스케이프 된 제목 대신 이스케이프 처리되지 않은 제목을 반환합니다.
obj.attr('title')
전화로 탈출 한 제목을 어떻게 얻을 수 있습니까?
내 템플릿 시스템이 방법은 문자 "<", ">", "&"와 "" "을"< ","> ","& "및"" "을 변환하여 태그를 탈출하기 위해 제공합니다. title = ""html 페이지를 생성 할 때 이스케이프 메소드를 통해 내용이 필터링되므로 충분히 안전하다고 생각합니다. 이제 &에서 또 다른 탈출구를 수행해야합니다. & 나는 이것을 놓친 것이 거의 없으며 XSS 보안 보유 기간이 될 것입니다. – perlwle