HTML 编码尖括号、&、换行符和引号是否足以防止 XSS?
我正在创建一个网站,并且我有一个部分,用户可以通过表单提供输入。使用以下方法对输入进行消毒:
str.replace(/[\x26\x0A<>'"]/g,function(r){return"&#"+r.charCodeAt(0)+";"})之后,数据被放置在<p>标签之间。所以是这样的:
<p id="foo">Random message</p>
我的替换功能是否足以防止 XSS 攻击?
茅侃侃浏览 109回答 1
1回答
-
杨__羊羊
这基本上是Can I escape html special chars in javascript? . 是的,您的代码可能是安全的,它与那里接受的答案相同。
随时随地看视频慕课网APP
相关分类
JavaScript