最赞回答 / qq_觉醒的小烟枪_04413784
利用Url 植入 , 通过 服务端解析 后 回传到浏览器 , 从而被浏览器解析执行 。反射型,需要四处散发你的地址。否则就是自己玩~
2017-06-02
最新回答 / 我不在
提问不清楚,你的意思是 textarea 提交后的 内容 使用 innerText 插入???好像渲染页面一般用不到 innerText 吧。。。而且 即使后 后续 通过 json 插入 hmtl 的话,有可能可以,但如果插入 dom 结果的话还是 要 innerText, 或者 appendChild 什么的,防御不了。 防御,还是要通过提交验证,和 http header 入手。
2017-05-14
已采纳回答 / 走自己的_天下
如果你在表单里输入了alert(“a”),后端不编码时,alert(“a”)会被读取到界面上,就会弹出该对话框,而后端编码,前端解码的话,就根本不会弹出
2017-03-30
