5
यह 100% सुरक्षित यह देखते हुए कि तीसरे पक्ष के इनपुट कुछ भी (HTML, सीएसएस, आदि), मुझे यकीन है कि हो सकता है यह कोई नुकसान करता है, तो काम नहीं चलेगा कर सकते हैं निम्नलिखित ?:क्या यह निम्नलिखित करने के लिए 100% सुरक्षित है?
var untrusted_input_from_3rd_party = '<script>alert("xss")<\/script>';
document.getElementsByTagName('body')[0].appendChild(document.createTextNode(untrusted_input_from_3rd_party));
क्या करना है मैं createTextNode के माध्यम से इसे पास करें और फिर इसे डोम में जोड़ें?
* कुछ भी * कभी भी "100% सुरक्षित" है? – Spudley
शायद 99.9% हो सकता है? :) – Polar
संभावित डुप्ली: http://stackoverflow.com/questions/476821/is-a-dom-text-node-guaranteed-to-not-be-interpreted-as-html –