首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  moonlord  ›  全部回复第 3 页 / 共 4 页
回复总数  72
1  2  3  4  
2020-08-06 16:00:31 +08:00
回复了 zxbutton 创建的主题 程序员 求助,关于家庭服务器的选择,求推荐一下
<script>alert(1);</script>
2020-04-24 20:23:48 +08:00
回复了 moonlord 创建的主题 JavaScript 为什么 XSS 的防御,很多人要用前后端 转码、过滤、报错 的方法,直接在前端当做文本显示不香吗?
@jinmaoi 那些人可能说的是 sql 注入(笑),我也觉得 xss 照我说的这个没啥毛病
2020-04-24 18:25:40 +08:00
回复了 moonlord 创建的主题 JavaScript 为什么 XSS 的防御,很多人要用前后端 转码、过滤、报错 的方法,直接在前端当做文本显示不香吗?
@huijiewei HTML 编辑器不是普遍需要。讨论的是通用的防御。
2020-04-24 18:24:39 +08:00
回复了 moonlord 创建的主题 JavaScript 为什么 XSS 的防御,很多人要用前后端 转码、过滤、报错 的方法,直接在前端当做文本显示不香吗?
@retanoj 对吧,我就这个意思。而且,数据是啥就应该是啥,明天万一搞 APP 呢,他么数据都被转码了不是扯淡了。。。
2020-04-24 18:03:56 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@u823tg 杠精说的就是你吧 =。=
2020-04-24 17:43:46 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@Leon6868
我是全干工程师,怎么了
工作台是啥
还在说转码,看看 81 楼吧

https://ex.noerr.eu.org/api/replies/show.json?topic_id=665687
2020-04-24 17:17:18 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@SilentDepth
要想一劳永逸,那可不就是不生孩子嘛!
2020-04-24 17:11:07 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@SilentDepth
题目问的一劳永逸……
所以你看 V2EX 的答案就是我的答案,不允许你输入 HTML,只允许你输入文本
你自己有特殊需求,那就需要什么 tag,就检验限制就完了啊,有啥好讨论的
2020-04-24 17:07:51 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@zdhxiong
睁眼说瞎话?搜下<script>?
2020-04-24 16:47:26 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@fancy111 怎么,看不起 V2EX 家的输入框?非要别人给你环境,笑死我了
2020-04-24 16:46:08 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@fancy111 笑死我了,行吧行吧,你就当他们后端过滤了你不存在的字符,然后最后总之就没注入成功吧,哈哈哈
2020-04-24 16:44:56 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@SilentDepth
???
正确答案看 10 楼。
转义没转义,右键审查看下不就知道???
2020-04-24 16:43:53 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@fancy111
我都告诉你了,innerText 的效果,就是输入的啥,显示的啥,不解析内容,你还非说有后端过滤,笑死我了
你写的哪个字符被后端过滤了?
2020-04-24 16:40:38 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@fancy111
V2EX 这么大的输入框就在这里,用的 innerText,输入的啥,显示的啥,你注入一个看看啊?
2020-04-24 16:36:23 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@fancy111
来你试,我就在这,等着你的 alert
2020-04-24 16:34:24 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@SilentDepth
又抓住一个不懂的。正确答案请看 10 楼。
=。= ,月经贴了,这种东西。
2020-04-24 16:25:06 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@fancy111
后端过滤? Chrome 审查元素会吗?看看是 innerText 还是转码过滤了?球球你了,不信我的,你自己试试好么?
2020-04-24 16:20:15 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@fancy111
你可以试试你说的 “你把这个用 innerText 显示出来,不是注入了吗”,根本不会弹出来
我写的 <script>alert("菜鸡不要说话");</script> 在这里,现在就是 innerText 显示出来的,弹了吗?
2020-04-24 16:18:50 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@whoami9894
9102 年都过了,现在 2020 年了,我这里反正只有前后端分离的项目
2020-04-24 16:16:37 +08:00
回复了 tctc4869 创建的主题 JavaScript 防止 xss 和 sql 注入而进行非法字符过滤, js 前端有什么几乎一劳永逸的方式?
@wooyuntest @fancy111
一知半解太可怕了
你难道没注意到我写的 <script>alert("菜鸡不要说话");</script>
现在在 v2ex,就是原封不动显示的吗?
还在说什么检验、编码、过滤,我服了。
看看 10 楼,好吗,亲?
1  2  3  4  
关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2831 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 16ms · UTC 14:05 · PVG 22:05 · LAX 07:05 · JFK 10:05
Developed with CodeLauncher
♥ Do have faith in what you're doing.