xss的防御

使用xss Filter

为过滤用户(客户端)提交的有害信息，从而达到防范xss攻击的作用。

1.输入过滤

永远不要相信用户的输入，对于用户的输入一定要过滤

2.输入验证

对用户提交的信息进行验证，仅接受指定长度范围内的，采用适当格式的内容提交，组织或者忽略除此之外的任意数据

如输入是否包含合法的字符

输入字符串是否超过最大长度限制

3.数据消毒

过滤和净化有害的输入

4.输出编码

对其中html进行编码，主要对应为html实体代替字符串

5.黑白名单

不管是采用输入过滤还是输出编码，都是针对数据信息进行的黑/白名单的过滤

黑名单:非允许数据

白名单:允许数据