标签: xss
当我在文本框中输入一些脚本并点击提交按钮时,该脚本会执行并扰乱UI。我使用XSSFilter来阻止可疑文本,毫无疑问它可以部分工作并替换可疑文本,但它会在uI中打印垃圾字符。
对于Ex:我输入了“alert(”123“);”,然后下面是文本框值:
并在文本框中,仅显示我:“alert(”。
我的要求是:我希望整个文本保持原样,脚本不应该执行。
答案 0 :(得分:0)
你应该编码而不是过滤。听起来像是“结束输入标签的value属性。请参阅OWASP XSS预防备忘单。