如果把评论提交的‘<’,‘"’,‘>’,‘&’都转码为<>%22&;&之类的,是不是就可以防止 xxs。
huahsiung 2023-09-29 16:17:39 +08:00 2805 次点击这是一个创建于 792 天前的主题,其中的信息可能已经有所发展或是发生改变。
博客的评论,如果过滤关键词 script,onerror 等等可能会误判。
‘<’,‘"’,‘>’,‘&’转码为
<>%22;&
感觉转码这四个,应该就稳了。
‘<’,‘"’,‘>’,‘&’转码为
<>%22;&
感觉转码这四个,应该就稳了。
 | 1 vigossliao 2023-09-29 16:32:15 +08:00 |
 | 2 jsq2627 2023-09-29 16:38:43 +08:00  1 现在浏览器有原生 HTML Sanitizer 了 https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API |
 | 3 agagega 2023-09-29 17:14:39 +08:00 如果只需要展示纯文本的话,用 innerText 不就行了? |
 | 4 hgc81538 2023-09-29 19:32:23 +08:00 via iPhone &<>"'去&<>"'就了 |
 | 5 ysc3839 2023-09-29 19:34:56 +08:00 via Android 可能不止这几个字符,建议直接使用现成的 html 转义库 |
 | 6 rabbbit 2023-09-29 19:41:09 +08:00 |
 | 7 xiangyuecn 2023-09-29 22:13:51 +08:00 Onclick='alert(1)' |
| 8 xiangyuecn 2023-09-29 22:16:15 +08:00 不用白名单,直接全部 ASCII 字符除了换行字母数字全部用 { 转义完事 |
Select Language