如何理解jquery 源码中用于匹配标签、ID的正则表达式?
jquery 1.7.1源码41行处:
quickExpr = /^(?:[^#<]*(<[\w\W]+>)[^>]*$|#([\w\-]*)$)/
我知道,^(?:[^#<]*(<[\w\W]+>)[^>]*$用来匹配标签;#([\w\-]*)$用来匹配ID。但是,前者中的[^#<]...[^>]该如何理解?
我知道它的作用是用来防止location.hash的XSS攻击,但是对其具体实现原理还是没有理解透彻,希望大神能够指导指导!
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
自问自答:
[^#<]...[^>]是用来排除像#<tagName ...>这种情况。jquery 1.6.3以下版本,quickExpr没有#,有可能被攻击中利用进行XSS攻击,例如:将地址栏中的hash修改为#<img src='/' oneerror=(function(){//恶意代码}())。如果代码中有
$(location.hash)这种写法,就会触发恶意代码。