jQuery MiniUI

标题: XSS攻击的问题 [打印本页]

---

作者: happylover1278    时间: 2019-4-25 17:04:55     标题: XSS攻击的问题

今天测试反馈了一个安全问题，在录入一个信息时，测试放了一个html标签进去。然后在datagrid展示的时候，发现这个标签被解析成了html结构。比如企业名称，他录入了一个input标签，然后表格中真的展示了一个input标签。如何避免这个问题？

---

作者: dforce    时间: 2019-4-25 17:09:22

列上设置autoEscape="true"

---

作者: happylover1278    时间: 2019-4-25 17:19:26

dforce 发表于 2019-4-25 17:09
列上设置autoEscape="true"

每一列都要设置么？那有的表格四五十个列   那不是设置很多。有没有全局的方法呢？如果用全局方法是不是影响自定义渲染函数了

---

作者: dforce    时间: 2019-4-25 17:50:17

happylover1278 发表于 2019-4-25 17:19
每一列都要设置么？那有的表格四五十个列   那不是设置很多。有没有全局的方法呢？如果用全局方法是不是 ...

  (function () {
            var inited = false;
            function init() {
                var grid = this;
                var columns=grid.getBottomColumns();
                $(columns).each(function(i,column){
                   column.autoEscape=true;
                })
                grid.doUpdate();
            }

            var set = mini.DataGrid.prototype.set;
            mini.DataGrid.prototype.set = function () {
                set.apply(this, arguments);
                if (!inited) {
                    init.call(this);
                    inited = true;
                }
               
            }
        })();

独立一个js文件引入

---

作者: happylover1278    时间: 2019-4-26 14:24:11

dforce 发表于 2019-4-25 17:50
(function () {
            var inited = false;
            function init() {

好   谢谢，辛苦了

---

欢迎光临 jQuery MiniUI (http://miniui.com/discuss/)

Powered by Discuz! X2