xss防御措施:1、不要在允许位置插入不可信数据;2、在向HTML元素内容插入不可信数据前对HTML解码;3、在向HTML常见属性插入不可信数据前进行属性解码;4、在向HTML URL属性插入不可信数据前进行URL解码。
XSS指利用网站漏洞从用户那里恶意盗取信息。
xss防御措施
下列规则旨在防止所有发生在应用程序的XSS攻击,虽然这些规则不允许任意向HTML文档放入不可信数据,不过基本上也涵盖了绝大多数常见的情况。
1、不要在允许位置插入不可信数据。
2、在向HTML元素内容插入不可信数据前对HTML解码。
3、在向HTML常见属性插入不可信数据前进行属性解码。
4、在向HTML JavaScript Data Values插入不可信数据前,进行JavaScript解码。
5、在向HTML 样式属性值插入不可信数据前,进行CSS解码。
6、在向HTML URL属性插入不可信数据前,进行URL解码。