首页 >web前端 >html教程 >使用转义防御XSS_html/css_WEB-ITnose

使用转义防御XSS_html/css_WEB-ITnose

WBOY
WBOY原创
2016-06-24 11:24:441435浏览

在输出的时候防御XSS即对用户输入进行转义,XSS的问题本质上还是代码注入,HTML或者javascript的代码注入,即混淆了用户输入的数据和代码。而解决这个问题,就需要根据用户可控数据具体输出的环境进行恰当的转义。

在html标签中输出

<HTML标签>[输出]</HTML标签>

只需要htmlencode即可。更具体是转义掉 就可以防止html注入。

输出在普通html属性中

<div attr=不可信数据>content</div>

好的方案应该是把不可信数据用双引号包裹起来,然后对数据进行htmlencode。

在script标签中输出

<script>var $a="不可信数据"</script>

确保输出变量在引号中,使用javascript编码输入数据。要防止 截断

输出在on事件中

<a href=# onlick="funcA('$var')"> test</a>

防御:先做javascript编码,再做html编码。因为输出数据位于html标签属性中,浏览器会进行html自解码。

在地址中输出

对协议进行白名单,http或者https,然后对其他部门进行url编码。避免javascript,data uri等伪协议攻击。

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn