<script>document.write('<base href=“' + document.location + '” />');</script>

【问题标题】：<script>document.write('<base href=“' + document.location + '” />');</script><script>document.write('<base href=“' + document.location + '” />');</script>
【发布时间】：2021-05-31 00:50:54
【问题描述】：

我收到跨站点脚本：DOM 关键问题。请任何人都可以帮助使用 document.write 的替代方法

<script>
document.write('<base href=“' + document.location + '” />');
</script>

【问题讨论】：

您在示例中使用了弯引号，而不是直接的 ASCII 引号，"

标签： xss jsp-tags fortify

【解决方案1】：

您可以使用以下方法来防止 DOM XSS：

<body>
<script>
document.body.innerHTML='<base href="' + encodeURI(document.location) + '" />';
</script>
</body>

【讨论】：