解决方案与建议:
严格过滤用户所能提交的任何数据,特别是能执行javascript代码的相关字符,最好全部转化为实体引用的形式。
在HtmlEncode中要求至少转换一下字符:
& ----> &
< ----> <
> ----> >
“ ----> "
‘ ----> '
设置httpOnly以防止cookie被窃取。
可使用htmlspecialchars()来过滤。
详细解决方案
xss攻打
热度:311 发布时间:2013-12-30 14:16:08.0
解决方案与建议:
严格过滤用户所能提交的任何数据,特别是能执行javascript代码的相关字符,最好全部转化为实体引用的形式。
在HtmlEncode中要求至少转换一下字符:
& ----> &
< ----> <
> ----> >
“ ----> "
‘ ----> '
设置httpOnly以防止cookie被窃取。
可使用htmlspecialchars()来过滤。
相关解决方案