如果把评论提交的‘<’,‘"’,‘>’,‘&’都转码为<>%22&;&之类的,是不是就可以防止 xxs。
huahsiung · 2023-09-29 16:17:39 +08:00 · 2384 次点击这是一个创建于 405 天前的主题,其中的信息可能已经有所发展或是发生改变。
博客的评论,如果过滤关键词 script,onerror 等等可能会误判。
‘<’,‘"’,‘>’,‘&’转码为
<>%22;&
感觉转码这四个,应该就稳了。
‘<’,‘"’,‘>’,‘&’转码为
<>%22;&
感觉转码这四个,应该就稳了。
 |
1
vigossliao 2023-09-29 16:32:15 +08:00
|
 |
2
jsq2627 2023-09-29 16:38:43 +08:00  1
现在浏览器有原生 HTML Sanitizer 了
https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API |
 |
3
agagega 2023-09-29 17:14:39 +08:00
如果只需要展示纯文本的话,用 innerText 不就行了?
|
 |
4
hgc81538 2023-09-29 19:32:23 +08:00 via iPhone
應該轉碼&<>"'去&<>"'就穩了
|
 |
5
ysc3839 2023-09-29 19:34:56 +08:00 via Android
可能不止这几个字符,建议直接使用现成的 html 转义库
|
 |
6
rabbbit 2023-09-29 19:41:09 +08:00
|
 |
7
xiangyuecn 2023-09-29 22:13:51 +08:00
onclick='alert(1)'
|
|
8
xiangyuecn 2023-09-29 22:16:15 +08:00
不用白名单,直接全部 ASCII 字符除了换行字母数字全部用 { 转义完事
|
Select Language