如果把评论提交的‘<’,‘"’,‘>’,‘&’都转码为<>%22&;&之类的,是不是就可以防止 xxs。
huahsiung · 2023 年 9 月 29 日 · 2892 次点击这是一个创建于 854 天前的主题,其中的信息可能已经有所发展或是发生改变。
博客的评论,如果过滤关键词 script,onerror 等等可能会误判。
‘<’,‘"’,‘>’,‘&’转码为
<>%22;&
感觉转码这四个,应该就稳了。
‘<’,‘"’,‘>’,‘&’转码为
<>%22;&
感觉转码这四个,应该就稳了。
 |
1
vigossliao 2023 年 9 月 29 日
|
 |
2
jsq2627 2023 年 9 月 29 日  1
现在浏览器有原生 HTML Sanitizer 了
https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API |
 |
3
agagega 2023 年 9 月 29 日
如果只需要展示纯文本的话,用 innerText 不就行了?
|
 |
4
hgc81538 2023 年 9 月 29 日 via iPhone
應該轉碼&<>"'去&<>"'就穩了
|
 |
5
ysc3839 2023 年 9 月 29 日 via Android
可能不止这几个字符,建议直接使用现成的 html 转义库
|
 |
6
rabbbit 2023 年 9 月 29 日
|
 |
7
xiangyuecn 2023 年 9 月 29 日
onclick='alert(1)'
|
|
8
xiangyuecn 2023 年 9 月 29 日
不用白名单,直接全部 ASCII 字符除了换行字母数字全部用 { 转义完事
|
Select Language