可以说,我从用户得到“名”和他进入<script>alert("you got xss!");</script>
检查输入,并将其转换为合适的类型,以防止XSS
但在服务器上我转换: name= name_from_frontend.toString();
保存它之前分贝。
同样,我检查了int using parseInt()
float using parseFloat()
boolean using typeof(variable_name)
等等。
是否还需要转义<
,&
和OWASP提及的其他字符以防止XSS?
如何将''“'能够在html(它的一个字符串)中生成xss? – vjjj
一切都取决于你打算如何处理这些数据..在开始时,通过使用服务器端语言来“打印”用户插入的html是一种常见的做法。 – enapupe
我将在客户端模板中使用用户数据,做eval()或插值。我用胡子 - > {{和{{= – vjjj