1
8
其实你只是 不能 在客户端进行任何可靠的XSS预防。攻击者只需禁用JavaScript,所有复杂的代码都不存在。任何客户端验证仅适用于 方便用户 ,没有更多。 更新:我上面写的是关于 第二阶 (也称为存储的)XSS。 第一个订单 XSS攻击(当攻击者创建伪造的URL时)可以使用JavaScript减轻。 |
2
7
在客户端上阻止XSS的方式与在服务器上阻止XS的方式相同。(请注意,这只会防止在客户端上直接处理的输入,而不会防止提交到服务器然后传递回客户端的代码)。
例如,如果您想在div中显示片段id,您可以:
不要 只需将原始输入解析为HTML:
当然,这只会保护页面不受提交给客户端代码的数据的影响。 无法使用客户端代码来防止恶意数据提交到服务器端代码。 客户端完全控制客户端代码,因此可以很容易地绕过它。 如果您从服务器外部读取输入,然后将其输出到网页,则 必须具有XSS的服务器端保护 . |
Softly · 单选按钮未按预期取值 1 年前 |
SlickRed · 我无法使用JS关注HTML元素 1 年前 |
assembler · Nextjs没有处理发布请求 1 年前 |
BADRUM · 执行两个获取功能后,如何导航回页面? 1 年前 |
Toniq · javascript为php保存多维数组 1 年前 |