前台提交内容:
一般通过百度UE 或 kind 编辑器;
这些编辑器会自动转义视图区的一些< >标签; 提交带标签的HTML字符串;
为了保持一致性,后台不能再次进行转义,而直接入库;
非法用户可以直接POST一段SCRIPT+HTML的代码,不经过JS;
这样会造成XSS攻击;
XSS: script 这个好解决,转义
Copyright 2014-2023 //m.sbmmt.com/ All Rights Reserved | 苏州跃动光标网络科技有限公司 | 苏ICP备2020058653号-1
| 本站CDN由 数掘科技 提供