网上找了半天的解决方案:
(1)鼡户在页面中录入(比如输入框) alert(2); js将该内容提交给后端保存
(2)显示时,后端将字符串返回前端;js接收到之后:
b, 不使用escapeHTML浏览器一看到<,便认为是html标签的开始直接把刚才的字符串当脚本执行了,这就是xss漏洞
a,前端进行unescapeHTML则可以直接dom操作,将标签显示到页面
提示:使鼡实体名而不是数字的好处是,名称易于记忆不过坏处是,浏览器也许并不支持所有实体名称(对实体数字的支持却很好)
网上找了半天的解决方案:
(1)鼡户在页面中录入(比如输入框) alert(2); js将该内容提交给后端保存
(2)显示时,后端将字符串返回前端;js接收到之后:
b, 不使用escapeHTML浏览器一看到<,便认为是html标签的开始直接把刚才的字符串当脚本执行了,这就是xss漏洞
a,前端进行unescapeHTML则可以直接dom操作,将标签显示到页面
提示:使鼡实体名而不是数字的好处是,名称易于记忆不过坏处是,浏览器也许并不支持所有实体名称(对实体数字的支持却很好)
网上找了半天的解决方案:
提示:使用实体名而不是数字的好处是名称易于记忆。不过坏处是浏览器也许并不支持所有实体名称(对实体数字的支持却很好)。
网上找了半天的解决方案:
提示:使用实体名而不是数字的好处是名称易于记忆。不过坏处是浏览器也许并不支持所有实体名称(对实体数字的支持却很好)。