javascript - 从输入脚本中删除 javascript 字符('" \ &) 会阻止 XSS 吗?
问题描述
我有以下 html 输入字符串
<p><script>alert("hi")</script></p>
<img src=x:alert('xss') height= "20" width ="40" onerror=eval(src) alt="xssdemo"</img>
而不是使用反斜杠('\')转义字符('“&),完全删除这些字符将防止XSS弹出?
基本上这里我不想使用传统的 \ 转义,因为它会破坏 html 格式。我正在考虑完全删除字符本身。例如:高度 = \"20\"。
解决方案
推荐阅读
- elasticsearch - 是否可以从 Elasticsearch 中的文档中获取整个嵌套对象?
- linux - Ffmpeg 4 音频和 1 视频输入到 4 视频输出性能问题
- c# - 如何在 C# 中处理来自 PHP 的 echo json_encode()?
- julia - 如何创建 n 个变量的函数 (Julia)
- c# - 存储为子数组的高性能连接二维数组
- python - Scrapy 请求返回错误的货币
- python - Python Pandas 按行过滤包含(在任何列)
- kentico - Kentico 基于现有页面类型创建页面会出错
- mysql - mysql 和 psql 语法的区别——寻找最近的地理坐标
- javascript - 使用变换在窗口上居中元素