Question

使用js生成html代码安全吗？

黑客可没可能通过什么方法更改js的生成html的相关函数，从而达到获取某些信息的目的？比如说插入一段可调用Ajax函数的方法，进而获取服务器数据库里的敏感信息……等等

Answer 1

如果是js生成的静态html代码，是否安全要看代码本身是否有注入漏洞，如果是动态生成的html代码，要看数据流如果被截取，其中是否有安全类内容容易被获取，比如密码明码，传输的数据是否加密。用flex一样会有数据交互，一样会有安全问题，要做好服务器端防护和程序代码的严谨

追问

我是想根据数据源生成html的一系列tr,然后使用innerHTML插入到页面中的一个table中。数据源是通过Ajax从数据库中取出生成的Json字符串（比如:[{name:"张三",score:"李四"}]），字符串中只包含数据，不存在html代码，这样也会有安全问题吗？或者说只有由服务器端生成table，再直接显示给用户看才会是比较安全的？

追答

你只是绑定数据，不会有安全问题，起码在带马上不会有，有也要担心服务器本身的漏洞。

Answer 2

js和html都是不安全的，你可以用flex，比较安全

Answer 3

安全