怎么禁止含有js的文本在网页中执行???

Luca
  • 10

测试给我提了个问题,他将下面这段代码从后台发布到前台网页上,但是每次初始化的时候一定会弹一个alert

'"><img src=1 onerror=alert(1)>#

我就想问一下,如何在前台使初始化加载页面,或者就不让这个alert执行

回复
阅读 1.2k
7 个回答

喔.存储型 XSS

后台输入的地方,需要先转义后在存入数据库... 不清楚你们的后端语言是啥,,可以查找下对应语言的 specialChar 转义 方法..

另外,搜索下 XSS ,好好看下.

在数据库里删,而且后续需要给提交的信息转义

你要做的是禁止这段代码原样输出到网页上

1.不要用 innerHTML 用 innerText
2.每个 < 或者 > 中间添加 \

这段代码的意思是如果src中的头像不存在就会加载onerror属性中的图片路径,为什么在oneerror里做弹出操作?这不是给你找茬吗

服务器上配置 内容安全策略 HTTP CSP, 指定可执行js的域名,且禁止掉本地js运行

你知道吗?

宣传栏