webcourse/Webcourse
3
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity

update: HTML 标签

Browse Source
This commit is contained in:
qianguyihao
2019-10-03 16:25:14 +08:00
parent 392be3a010
commit 816c514f29
5 changed files with 100 additions and 219 deletions
Download Patch File Download Diff File Expand all files Collapse all files

2
14-前端面试/07-安全问题:CSRF和XSS.md
View File

@@ -138,7 +138,7 @@ Encode的作用是将`$var`等一些字符进行转化,使得浏览器在最
**2、过滤**
- 移除用户输入的和事件相关的属性。如onerror可以自动触发攻击还有onclick等。总而言,过滤掉一些不安全的内容)
- 移除用户输入的和事件相关的属性。如onerror可以自动触发攻击还有onclick等。总而言,过滤掉一些不安全的内容)
- 移除用户输入的Style节点、Script节点、Iframe节点。尤其是Script节点它可是支持跨域的呀一定要移除