XSS防御:过滤

2018/05/06

XSS防御:过滤

归根到底,XSS就是一种HTML注入,那么预防这种注入的方法,一种就是输入检查,还有一种就是输出检查。

输入检查:就是检测用户输入的数据有没有构成XSS的“关键词”,如‘、<、script等等,但是这种方法有很多问题。

我们只能把希望寄托在输入检查上了。

输出检查:就是把能构成XSS的“关键词”使用htmlentites替换掉,比如<可以替换成&apm;


Post Directory