xss防御
XSS防御的总体思路是:
对输入进行过滤,特殊符号必须过滤掉,单引号、双引号、尖括号之类的,
对输出进行编码过滤: 根据业务需求进行过滤,
比如输出点要求输入手机号,则只允许输入手机号格式的数字。
转义: 所有输出到前端的数据都根据输出点进行转义,
比如输出到html中进行html实体转义,输入到S里面的进行IS转义0xss之hre输出绕过: javascript:alert(1111),直接代入a标herf里面-样可以绕过htmlspecialchars,如果没有把用户提交的交给a标签,其实很难绕过了。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· Docker 太简单,K8s 太复杂?w7panel 让容器管理更轻松!