xss攻击
解决方案与建议:
严格过滤用户所能提交的任何数据,特别是能执行javascript代码的相关字符,最好全部转化为实体引用的形式。
在HtmlEncode中要求至少转换一下字符:
& ----> &
< ----> <
> ----> >
“ ----> "
‘ ----> '
设置httpOnly以防止cookie被窃取。
可使用htmlspecialchars()来过滤。
发布时间: 2013-12-30 14:16:08 作者: rapoo
xss攻击
解决方案与建议:
严格过滤用户所能提交的任何数据,特别是能执行javascript代码的相关字符,最好全部转化为实体引用的形式。
在HtmlEncode中要求至少转换一下字符:
& ----> &
< ----> <
> ----> >
“ ----> "
‘ ----> '
设置httpOnly以防止cookie被窃取。
可使用htmlspecialchars()来过滤。