https://segmentfault.com/q/1010000005909401?_ea=961774

前端防xss分两类, 1是提交数据的时候, 2是渲染数据的时候

1.提交数据, 即post表单, 或者ajax提交数据的时候, 对用户输入的内容进行过滤, 当前由于是前端操作, 随便找个懂点的都可以通过模拟请求绕过, 但是做还是要做

2.渲染数据, 这个是重点, 哪怕提交数据时, 被绕过(后端也没有处理), 渲染时予以过滤, 也能达到效果, 这里一般指ajax+template, 或者各种mvvm框架, 对于是用户提供的内容, 能用text方法的, 一律用text方法, 一定要用html方法的, 则进行数据过滤

github上开源的xss过滤规则: http://jsxss.com/zh/index.html

http://jsxss.com/zh/index.html

最新文章

  1. Geoserver+Tomcat+GeoWebCache搭建地图服务
  2. SQL 语句中union all和order by同时使用
  3. .framework使用注意、静态库配置及构架合成
  4. 时光煮雨 Unity3d 序列目标点的移动①
  5. 一个简单的linux线程池(转-wangchenxicool)
  6. 第十四章:样式(Style)和主题(Theme)
  7. JS 操作日期
  8. [状压dp] hdu 4064 Carcassonne
  9. HDU 2845 Beans (动态调节)
  10. swift 笔记 (七) —— 关闭
  11. 【Spark2.0源码学习】-6.Client启动
  12. POJ 3128 Leonardo's Notebook [置换群]
  13. 医疗器械c#上位机开发指引教程
  14. 【一天一道LeetCode】#109. Convert Sorted List to Binary Search Tree
  15. 【Alpha】Scrum Meeting 10
  16. css 改变浏览器滚动条的样式
  17. 利用django如何解析用户上传的excel文件
  18. 【mysql】索引优化记录
  19. python基础学习 Day19 面向对象的三大特性之多态、封装
  20. html5 canvas路径绘制2

热门文章

  1. wpf读取mysql字段类型为text的问题
  2. VM安装linux
  3. Java数据库——ResultSet接口
  4. 用javascript替换URL中的参数值
  5. cmake 编译 c++ dll 的一个例子(更新2:增加 python 调用方法)
  6. Enabling and Mounting NFS on CoreOS
  7. struts2.3.16所需的基本的jar包---------SSH升级包不是整体全部都升级的
  8. OC-self关键字
  9. Winform端上传图片到服务器
  10. aop测试jdk代理机制