15

在 jQuery 中:

$('<script>alert("foo");</script>')
// nothing shows up 

// wrap it in a <p> 
$('<script>alert("foo");</script>').wrap('<p>')
// oh no, an alert just popped up.

是否$('any string what so ever')能够使 JavaScript 在任何浏览器上执行?

4

1 回答 1

21

没有 $ 不是 XSS 安全的。

您可以使用此技巧注入任意 JavaScript。

$("<img src=x onerror=alert(/xss/.source)>")
于 2013-02-20T02:16:36.610 回答