100分 内容区的XSS和HTML入侵解决方案;
程序员文章站
2024-01-12 13:18:28
...
前台提交内容:
一般通过百度UE 或 kind 编辑器;
这些编辑器会自动转义视图区的一些标签; 提交带标签的HTML字符串;
为了保持一致性,后台不能再次进行转义,而直接入库;
非法用户可以直接POST一段SCRIPT+HTML的代码,不经过JS;
这样会造成XSS攻击;
XSS: script 这个好解决,转义 和
一般通过百度UE 或 kind 编辑器;
这些编辑器会自动转义视图区的一些标签; 提交带标签的HTML字符串;
为了保持一致性,后台不能再次进行转义,而直接入库;
非法用户可以直接POST一段SCRIPT+HTML的代码,不经过JS;
这样会造成XSS攻击;
XSS: script 这个好解决,转义 和