我正在使用php回显某些内容,其属性为:
onclick="example()",
所以我不必用javascript在每个元素上逐个附加一个click监听器。
有时,在我读到的某个地方,在html标记中声明onclick是一种不好的做法。我想知道这是不是真的,为什么?
最佳答案
这是一个允许某种形式的XSS攻击的安全漏洞。长话短说,它基于这样一个事实,即在解释javascript之前呈现html标记。当您在脚本中输出一些动态值时,很难对其进行保护。“whitehatsec”在this article处有更详细的描述。