摘要:
摘自《白帽子讲web安全》第三章XSS的本质是一种“HTML注入”,用户的数据被当成了HTML代码一部分来执行,从而混淆了原本的语义,产生了新的语义。在HTML标签中输出,在HTML属性中输出防御方法:对变量使用HtmlEncode在<script>标签中输出防御:使用JavascriptEncode在事件中输出防御:使用JavascriptEncode在CSS中输出防御:尽可能禁止用户可控制的变量在“<style>标签”、“HTML标签的style属性”以及“CSS文件”中输出。如果一定有这样的需求,则推荐使用OWASP ESAPI中的encodeForCSS()函数 阅读全文
