Ниже приведен пример, который мой инструмент сканирования кода помечает как потенциальную уязвимость XSS:
$('#someField').attr('value', $('#dropdown option:selected').text());
Это просто установка атрибута value поля с использованиемтекст выбранной опции выпадающего меню.Предполагая, что текст раскрывающегося списка небезопасен и ненадежен, как это можно использовать через XSS?(Обратите внимание, что этот код запускается при запуске отдельного события изменения выпадающего списка).