输出][
只需要htmlencode即可。更具体是转义掉< > 就可以防止html注入。
content
好的方案应该是把不可信数据用双引号包裹起来,然后对数据进行htmlencode。
确保输出变量在引号中,使用javascript编码输入数据。要防止 截断
test
防御:先做javascript编码,再做html编码。因为输出数据位于html标签属性中,浏览器会进行html自解码。
对协议进行白名单,http或者https,然后对其他部门进行url编码。避免javascript,data uri等伪协议攻击。
下载本文