如果把评论提交的‘<’,‘"’,‘>’,‘&’都转码为<>%22&;&之类的,是不是就可以防止 xxs。

查看 65|回复 2
作者:huahsiung   
博客的评论,如果过滤关键词 script,onerror 等等可能会误判。
‘’,‘&’转码为
<>%22;&
感觉转码这四个,应该就稳了。

amp, onerror, xxs, script

vigossliao   
用现成库应该省事多了
https://github.com/leizongmin/js-xss
jsq2627   
现在浏览器有原生 HTML Sanitizer 了
https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API
您需要登录后才可以回帖 登录 | 立即注册

返回顶部