1、Html只需要处理掉< > 即可,只要没有html标签,页面就是安全的。
2、将要输出到js代码片断中的用户输入内容没有好的办法进行处理;仅转义少数字符不能保证去掉所有的攻击可能。因此,一般建议不要把用户产生的内容直接输出到js片断中。
如果条件所限,必须将内容直接输出,有如下方法可供选择:
1) 如果待输出的内容有特定的取值返回或者特定的格式,可以使用白名单或者正则表达式进行处理。
2) 可以将内容输出到html的隐藏标签或隐藏表单中,js通过获取标签的内容得到该内容。
3、 检查
1)从apache的access_log中取出所有unique的请求,依次修改其某一个参数为 “<script>alert(‘xss')</script>”,发起请求。
2)获取返回的内容,如果内容中有原样的该字符串,表明此可疑输入没有经过处理便输出到页面上,页面存在隐患,需要处理。