@CI
1年前 提问
1个回答
怎么防止非持久型 XSS 漏洞
Andrew
1年前
防止非持久性XSS办法如下:
Web页面渲染的所有内容或者渲染的数据都必须来自于服务端;
尽量不要从URL,document.referrer,document.forms等这种DOMAPI中获取数据直接渲染;
尽量不要使用eval,newFunction(),document.write(),document.writeln(),window.setInterval(),window.setTimeout(),innerHTML,document.createElement()等可执行字符串的方法;
前端渲染的时候对任何的字段都需要做escape转义编码。