v.ki 发表于 2021-4-13 23:35:57

求助大佬,这样弄js代码 为啥不会执行


用的django,我把安全模式关了,不关的话他会自动转义一些html字符,这样富文本编辑器就没用了,我测试一下有没有xss漏洞,也不是很懂,很奇怪为啥不执行

Daniel_Zhang 发表于 2021-4-14 00:04:34

alert 是不是要加分号{:10_245:}

有没有尝试清除浏览器缓存的 js 和 css , 然后重载 js 和 css

kogawananari 发表于 2021-4-14 00:57:02

因为你可编辑情况下 contenteditable="true"里面的内容不会被当作ele节点类似还有code标签   area(?存疑)标签

z5560636 发表于 2021-4-14 08:46:40

插个眼,学习一下。

帅气小哥 发表于 2021-4-14 13:02:34

来学习了

1952147407 发表于 2021-4-14 13:21:55

1

本帖最后由 1952147407 于 2023-1-31 21:15 编辑

1

v.ki 发表于 2021-4-14 21:57:25

kogawananari 发表于 2021-4-14 00:57
因为你可编辑情况下 contenteditable="true"里面的内容不会被当作ele节点类似还有code标签   area(?存 ...

但是我后端直接编辑 它会执行啊, <div contenteditable="true">
      <script>alert('fff');</script>
    </div>
我直接写这个,就会弹出框

荆棘千千 发表于 2021-4-17 12:35:00

二楼说的对
页: [1]
查看完整版本: 求助大佬,这样弄js代码 为啥不会执行