0
это правильноБудь то предупреждение?
<a href="#" style="color:#FFF;"onclick="add('alert("Google !")');" id="cricket" tabindex="1" name="cricket">cricket</a>
A
ответ
1
onclick="add('alert("Google !")');" в настоящее время анализируется как:
onclick # attribute name
=
"add('alert(" # string
Google ! # random garbage
")');" # another string
Вы должны будете бежать внутренние кавычки, в противном случае они завершают строку:
onclick="add('alert("Google !")');"
Кроме того, это зависит от того, что делает add().
+0
Я не думаю, что обратная косая черта работает так, как в HTML. Я смог найти отверстия XSS на веб-сайтах, потому что там они используют «addlashes», где это действительно не применяется. – Matchu
+0
@Matchu Long фиксированный. Работа слишком мало с HTML в последнее время ...;) – deceze
+0
Nice :) Ответ отменен в пользу более четкого объяснения. – Matchu
1
No.
onclick="add('alert("
Вы не имеете полное выражение JavaScript внутри вашего значения атрибута.
Некоторых авторы используют символьную ссылку на сущность «
"» для кодирования экземпляров двойной кавычки ("), поскольку этот символ может использоваться для разделения значений атрибутов
-. http://www.w3.org/TR/html4/charset.html#h-5.3
(И как в сторону:
- не используйте HREF = "#", build on stuff that works
- Не используйте атрибут стиля, отдельное представление и содержание
- Не забудьте поставить пробел между вашими атрибутами
- Не используйте присущие атрибуты событий (например, OnClick), используйте unobtrusive JS (который также будет решать проблема вложенных кавычек)
- Где это возможно, избегать TabIndex в пользу разумной естественной табуляции )
Смежные вопросы
- 1. Будь то бокс или распаковка?
- 2. Swift - Обнаружение воспроизведения музыки, будь то Spotify или ITunes
- 3. Настройка состава будущего, будь то и писатель в Scalaz
- 4. Prestashop - Дифференцировать заказ, будь то ручной или внешний заказ
- 5. Что-нибудь вроде Mathf.Ceil, которое понимает величину числа, будь то +/-?
- 6. Как получить информацию о ОС, будь то LINUX или WINDOWS?
- 7. Идентификация утечки памяти, будь то в NSMutableArray или UIAlertViewController
- 8. Linux: Оболочка для скриптинга, известная, будь то вечер или утро
- 9. знаете о устройстве iPhone, будь то старый или новый код
- 10. Как проверить все свойства класса, будь то null или empty?
- 11. Как судить о классе, будь то системный или пользовательский?
- 12. текст вертикальное выравнивание, будь то две строки или одна строка
- 13. Как вы перебираете объект каким-то образом агностиком, будь то список или диктофон?
- 14. Что ПРЕДУПРЕЖДЕНИЕ: [что-то] перекрывает [что-то] в Windows Debugger?
- 15. Предупреждение: imageftbbox() [function.imageftbbox] - то, что эта ошибка
- 16. ли что-то на прием предупреждение
- 17. Если дочерний элемент имеет класс, то предупреждение
- 18. IOS Ханеке - предупреждение памяти, то врезаться
- 19. Как я могу определить программно, будь то многоядерные, гиперпотоковые или многопроцессорные?
- 20. Как определить тип базы данных mysql: будь то InnoDB или MyISAM?
- 21. Где я могу объявить глобальную переменную в c-программе, будь то в заголовке или исходном файле
- 22. Есть ли способ определить источник триггера, будь то ручная сборка или изменение scm?
- 23. python xml.etree.ElementTree получить все внутри элемента, будь то его текст или дети
- 24. Как проверить статус URL веб-сайта, будь то онлайн или оффлайн, когда я нажимаю кнопку
- 25. Нет вывода от OhNetGen.exe? (будь то код или сообщение об ошибке!)
- 26. Как найти тип устройства, будь то ip-камера или компьютер с IP-адресом в android
- 27. Как определить функцию в DLL, будь то в соглашении _stdcall или в соглашении _cdecl?
- 28. Как найти тип устройства, будь то компьютер или мобильный телефон в vb.net с SQL Server
- 29. Можем ли мы различать запрос пользователя, будь то Android/iPhone/iPad/ноутбук (или) Desktop?
- 30. Я хочу проверить значение свойства, будь то пустым или нет в MVC. Пожалуйста, предложите
Dunno. Ты пробовал? : P – Matchu
Ответ зависит от того, что вы пытаетесь сделать. – Stephen