我看XSS攻击的时候,是把"<script>alert('我是XSS')</script>"这种代码输出到页面上,然后就会执行。
但为啥我js里用innerHTML或者innertext往DOM里填这段代码,填不进去会报错呢?
但是直接标签里写死这段代码却可以执行。
宣传栏
我看XSS攻击的时候,是把"<script>alert('我是XSS')</script>"这种代码输出到页面上,然后就会执行。
但为啥我js里用innerHTML或者innertext往DOM里填这段代码,填不进去会报错呢?
但是直接标签里写死这段代码却可以执行。
https://developer.mozilla.org/zh-CN/docs/Web/API/Element/innerHTML