第一、在输入方面对所有用户提交内容进行可靠的输入验证,提交内容包括URL、查询关键字、http头、post数据等
第二、在输出方面,在用户输内容中使用 <XMP>标签 还是用js-xss吧 。标签内的内容不会解释,直接显示。
第三、严格执行 字符输入 字数控制。
四、在脚本执行区中, 应 去除 用户 输入 的 任何 字符。
最简单的方案是嵌入到<script type="text/html">或<script type="text/template">内部,并加上display: block即可。
这样任何进制的script危险脚本, 都不会执行, 只能显示了
对编辑器用户提交的东西, 进行修改src url 等, 去除其他无用的属性, 重新组装标签属性
使用白名单, 只允许某些字符输入
httpOnly