在jQuery中:
- $('<script>alert("foo");</script>')
- // nothing shows up
- // wrap it in a <p>
- $('<script>alert("foo");</script>').wrap('<p>')
- // oh no,an alert just popped up.
是否可以在任何浏览器上执行JavaScript(“任何字符串都是如此”)
解决方法
没有$XSS不安全.
您可以使用这个技巧注入任意JavaScript.
- $("<img src=x onerror=alert(/xss/.source)>")
