это правильноБудь то предупреждение?
<a href="#" style="color:#FFF;"onclick="add('alert("Google !")');" id="cricket" tabindex="1" name="cricket">cricket</a>
это правильноБудь то предупреждение?
<a href="#" style="color:#FFF;"onclick="add('alert("Google !")');" id="cricket" tabindex="1" name="cricket">cricket</a>
onclick="add('alert("Google !")');"
в настоящее время анализируется как:
onclick # attribute name
=
"add('alert(" # string
Google ! # random garbage
")');" # another string
Вы должны будете бежать внутренние кавычки, в противном случае они завершают строку:
onclick="add('alert("Google !")');"
Кроме того, это зависит от того, что делает add()
.
Я не думаю, что обратная косая черта работает так, как в HTML. Я смог найти отверстия XSS на веб-сайтах, потому что там они используют «addlashes», где это действительно не применяется. – Matchu
@Matchu Long фиксированный. Работа слишком мало с HTML в последнее время ...;) – deceze
Nice :) Ответ отменен в пользу более четкого объяснения. – Matchu
No.
onclick="add('alert("
Вы не имеете полное выражение JavaScript внутри вашего значения атрибута.
Некоторых авторы используют символьную ссылку на сущность «
"
» для кодирования экземпляров двойной кавычки ("), поскольку этот символ может использоваться для разделения значений атрибутов
-. http://www.w3.org/TR/html4/charset.html#h-5.3
(И как в сторону:
Dunno. Ты пробовал? : P – Matchu
Ответ зависит от того, что вы пытаетесь сделать. – Stephen