在使用 ajax 获取数据,将数据展示到前台,但是这些数据里面可能包含 <script>alert('xxx')</script>
这样字段,如何预防这种 XSS 注入呢?
目前我想到的几种预防方式:
- 在拼接 html 填写字段的时候不要使用 + 连接,使用类似·$('#id').text('content')·拼接内容;
- 统一在 ajax 返回方法里面处理,escape 返回的 data 所有的 string,这个比较暴力了。。但是可以设置 options,是否暴力 escape;
- 在用户录入的时候进行过滤掉,这个觉的不怎么好。
各位有没有其他的什么方法?
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于