当然,我知道脚本代码是在客户端执行的。但是,为了提供有关XSS的最大安全性,应该在serice方面引入什么对策。 输出编码是否合理,还是应该应用其他任何对策?
[编辑]
如果我将内容作为HTML编码发回,那么所有现有的XML模式文件和bean验证都将失效,因为XSD模式以及bean验证都使用相同的正则表达式。
<xs:simpleType name="addressNumber">
<xs:restriction base="xs:string">
<xs:pattern value="[0-9]{1}[0-9a-z/\\ -]{0,7}" />
</xs:restriction>
</xs:simpleType>
答案 0 :(得分:0)
最后,我得到了关于IT的答案here - 安全性!最重要的是:
content-type标头是否设置为application/xml X-Content-Type-Options标头并将值设置为nosniff