在我的服务器端,我有一些看起来像这样的东西:
Response.Write("<script>$(document).ready(function(){ SetTitle('" + userInput + "'); });</script>");
正如您所看到的,此代码容易受到XSS攻击,并且输入如下:
'); alert('XSS attack');//
这是我的问题:如果我在服务器端上逃避单引号('),在这种特定情况下是否足以阻止XSS攻击?或者你看到其他可能的攻击?或者我可能只是以错误的方式设置我的头衔?