在jQuery中:
$('<script>alert("foo");</script>')
// nothing shows up
// wrap it in a <p>
$('<script>alert("foo");</script>').wrap('<p>')
// oh no, an alert just popped up.
$('any string what so ever')能否导致JavaScript在任何浏览器上执行?
答案 0 :(得分:21)
您可以使用此技巧注入任意JavaScript。
$("<img src=x onerror=alert(/xss/.source)>")