XSS防御:过滤
归根到底,XSS就是一种HTML注入,那么预防这种注入的方法,一种就是输入检查,还有一种就是输出检查。
输入检查:就是检测用户输入的数据有没有构成XSS的“关键词”,如‘、<、script等等,但是这种方法有很多问题。
我们只能把希望寄托在输入检查上了。
输出检查:就是把能构成XSS的“关键词”使用htmlentites替换掉,比如<可以替换成&apm;
XSS防御:过滤
归根到底,XSS就是一种HTML注入,那么预防这种注入的方法,一种就是输入检查,还有一种就是输出检查。
输入检查:就是检测用户输入的数据有没有构成XSS的“关键词”,如‘、<、script等等,但是这种方法有很多问题。
我们只能把希望寄托在输入检查上了。
输出检查:就是把能构成XSS的“关键词”使用htmlentites替换掉,比如<可以替换成&apm;