Question

我在注入js代码ex时使用vue-toasted。在输入中"><img src=1 onerror=prompt(document.cookie);>，然后点击提交。

通知显示如下：和带有cookie的弹出窗口：/。

和console.log(response.data.message);显示：
Created Site ""><img src=1 onerror=prompt(document.cookie);>" successfully!

vue正在逃避html，但toasted不是，这是代码：

handleFormSubmit: function(response) {
        this.showAddSiteModal = false;
        if (response.data.status === 'success')
        {
            console.log(response.data.message);
            this.$toasted.success(response.data.message); //<<< problem here
            this.addSite(response.data.site);
        }
        else
        {
            this.$toasted.error(response.data.message);
        }
    },

Answer 1

在php端使用htmlspecialchars()。

避免在vue烘焙通知标题中使用跨站点脚本（XSS）

1 个答案: