@CI
1年前 提问
1个回答

怎么防止非持久型 XSS 漏洞

Andrew
1年前

防止非持久性XSS办法如下:

  • Web页面渲染的所有内容或者渲染的数据都必须来自于服务端;

  • 尽量不要从URL,document.referrer,document.forms等这种DOMAPI中获取数据直接渲染;

  • 尽量不要使用eval,newFunction(),document.write(),document.writeln(),window.setInterval(),window.setTimeout(),innerHTML,document.createElement()等可执行字符串的方法;

  • 前端渲染的时候对任何的字段都需要做escape转义编码。