我一直在使用不允许HTML格式化的系统.我目前使用的方法是在HTML实体插入数据库之前转义.我被告知我应该将原始文本插入到数据库中,并在输出中转义HTML实体.
其他类似的问题在这里我已经看到像HTML仍然可以用于格式化的情况,所以我要求一个HTML不会被使用的情况.
解决方法
在插入数据库之前执行转义时,您还将限制自己.假设您决定不使用HTML作为输出,而是使用JSON,明文等.
如果您在数据库中存储了转义的html,那么您首先必须’unescape’存储在数据库中的值,才能再次将其重新转换为不同的格式.
也看到这个完美的owasp article on xss prevention
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。