对校正这个不是很理解

校正这个不太理解,请问有同学可以给我解答一下吗? （如果有人想破坏页面的正常结构，就是用校正的方法，让页面正常显示）（避免恶意破坏dom结构，避免直接对HTML Entity解码，使用DOM Parse转换，校正不配对的DOM标签。）（DOM Parse就是把字符串转换成DOM结构对象

慕盖茨6451466

2018-04-20

源自：Web安全-XSS 5-1

关注问题我要回答

659

操作

收起

2 回答

artuo
2018-10-14

直接进行解码，可能包含错误的dom结构，所以要用dom parse校正不配对的dom

0 回复有任何疑惑可以回复我~

收起回答

环球学习机
2018-05-05

先说为什么要对用户的数据进行HTML Entity编码，因为攻击者可能将数据采用HTML Entity编码方式传入数据，这时候就需要你将所有数据转换成这种编码模式，然后从中过滤掉其中不合法的数据。避免直接解码的意思是要先将数据文本进行DOM对象转换，将其中不合法的内容过滤或校正。保证页面和数据的完整性和安全性