如果html源代码如下
<p style=...>Hello my name is <John>, sixty years old.</p>
然后,<p style...>和</p>如果属于白名单,则应该被取消。
鉴于<John>,它不是由脚本添加的 HTML标记,而是由用户添加的纯文本。
在这种情况下,不应填充<John>
由于白名单检查&#39;允许列表&#39;禁止列表&#39;和<John>不在列表中,因此它将被填充。
我认为在 clientside(javascript)上替换为&amp; lt&amp; gt不能解决问题。
因此,必须在 serverside (jsp,asp,...)进行预防吗?