在OWASP XSS prevention cheat sheet中,它表示不可信的数据无法安全地放入.setinterval JS函数中。即使转义/编码,XSS仍然可行。
但如果我有这样的话:
setInterval(function(){ alert('<%=UNTRUSTED_DATA%>'); }, 3000);
如果我JS编码“UNTRUSTED_DATA”,XSS怎么可能?
答案 0 :(得分:1)
有一个overload of setInterval接受一串代码而不是一个函数,在一个区间内基本上是exec。
我相信这就是OWASP备忘单所指的内容,你可以将不受信任的字符串放在那个重载中。您正在使用函数重载,这不是OWASP正在调用的函数。