E 'sicuro al 100% per effettuare le seguenti operazioni ?:E 'sicuro al 100% fare quanto segue?
var untrusted_input_from_3rd_party = '<script>alert("xss")<\/script>';
document.getElementsByTagName('body')[0].appendChild(document.createTextNode(untrusted_input_from_3rd_party));
Considerando che la terza parte può ingresso nulla (HTML, CSS, ecc), posso essere sicuro che non farà alcun danno se io passarlo attraverso createTextNode
e quindi aggiungerlo alla dom?
è * qualsiasi * mai "sicuro al 100%"? – Spudley
Forse il 99,9% allora? :) – Polar
Possibile dupe: http://stackoverflow.com/questions/476821/is-a-dom-text-node-guaranteed-to-not-be-interpreted-as-html –