javascript注入

<head>

</head>
<body>
<input type="text" id="username" />
<input type="button" value="show" onclick="show()" />
</body>
<script type="text/javascript">
    function show()
    {
    var name=document.getElementById("username").value
    document.write(name);
    }
</script>
</html>

当在文本框中输入123<script>alert('234')</script>后，此时再点击按钮，除了会显示123还会弹出窗口显示234。

所以，别有用心的人可以在文本框中输入其它的脚本语句，从而实现其它的脚本操作，从而获取用户的信息。当然这只是一种注入方法，防止脚本注入的方法可以用特殊的字符替换用户输入的字符中的html标记。例如：var name=escape(document.getElementById("username").value)

这仅是javascript注入的一个小例子。希望大家给些意见！

posted on 2010-12-19 01:32 穆穆阅读(1020) 评论(1) 编辑收藏举报