search

leizongmin / js-xss

Sanitize untrusted HTML (to prevent XSS) with a configuration specified by a Whitelist
http://jsxss.com
Other
5.21k stars 628 forks source link

未闭合标签不能匹配,使用onTag处理 #101

Closed leoDreamer closed 7 years ago

leoDreamer commented 7 years ago

<svg/onload=alert(1) 这一个输入不能被onTag函数处理,但是如果是出现在富文本中,前端又得将encode后的string,decode输出在页面,会出现xss

leizongmin commented 7 years ago

<svg/onload=alert(1)会被转义成&lt;svg/onload=alert(1),不明白你所说的问题为什么会导致xss?