segmentfault是怎么处理xss的?

例如: <script>alert('xss')</script>

<script>alert('xss')</script>

<img src="<script>alert('xss')</script>"/>
回复
阅读 5.6k
8 个回答

<a href="javascript://%0d%0aprompt(1);com>XSS Test

你需要这个屌屌的XSS过滤模块:http://jsxss.com/zh/index.html
在线演示:http://jsxss.com/zh/try.html

简单使用方法:

在页面中引入文件http://rawgit.com/leizongmin/js-xss/master/dist/xss.js

filterXSS('任何HTML代码'); // => 将返回经过滤安全无害的HTML代码

另外这个XSS过滤模块支持白名单过滤配置,你可以定制适合自己场景的过滤规则。

NPM versionnpm download

test<script></script>

Segmentfault不知道,这个站长来回答,也给我们参考下。
前端不论怎么做XSS,后台还是要做。防XSS主要是细心,也是被XSS折腾一段时间,直接使用开源项目吧。例如:Java开源项目 OWASP Java HTML Sanitizer ,可以快速编写配置过滤策略对用户提交的富文本进行过滤,防御XSS。

相关链接比较多,你参考:如何过滤不可信输入防御网站被XSS?,在这上面找吧。

新手上路,请多包涵

你看他们处理了吗(手动狗头)

131091615950564_.pic.jpg
131121615950579_.pic.jpg

logo
社区建设
子站问答
访问
宣传栏