为了账号安全,请及时绑定邮箱和手机立即绑定

课程

/前端开发

/HTML/CSS

/Web安全-XSS

有两个问题

  1. 为什么在服务端转义后,拿到前端后又直接转义后再过滤,直接过滤不行吗?

  2. 像我们直接评论是还会显示标签的,如<script></script>,这怎么解释?

神奇的小卷毛

2018-04-14

源自:Web安全-XSS  4-2

关注问题 我要回答
1095
操作
收起

正在回答

1 回答

_佐3695743
2018-05-01

1,在服务器进行转义存储,是考虑数据库服务器安全问题,前端反转义是因为要显示,然后不能直接反转义,是因为可能存在XSS攻击,所以要过滤。

2,评论区会直接显示标签,可能是使用了innerText,innerText不识别不解析标签,所以也不会造成xss攻击。


0 回复 有任何疑惑可以回复我~
收起回答
#1

wsq1992

那前端直接使用innerText显示 不就行了,是不是就不用费劲转义了
2018-10-30 回复 有任何疑惑可以回复我~

举报

0/150
提交
取消
Web安全-XSS
  • 参与学习       35632    人
  • 解答问题       67    个

从Web安全XSS的定义开始讲起,从原理到实战全方位理解XSS安全

进入课程

有两个问题

我要回答 关注问题
意见反馈 帮助中心 APP下载
官方微信