我的意思是,是否有一些内置于HTML中的功能可用于转义输出?例如某种标签会告诉浏览器该标签内的所有内容都不应被视为常规HTML,而应视为常规文本。
我知道Google AutoEscape和Microsoft AntiXSS之类的东西都没有内置到HTML中。
如果没有明显的问题是为什么?由于XSS有点普遍,并且开发人员很容易错过一种众所周知的攻击类型,为什么HTML中没有内置功能来防止这种情况并使开发人员轻松实现?
答案 0 :(得分:1)
displays its content literally:
<pre>
HTML
<pre>元素(或HTML预格式文本)表示 预先格式化的文本。此元素中的文本通常显示在 一个非比例(&#34; monospace&#34;)字体,与其中的字体完全一致 文件。此元素中的空格显示为已键入。
但是,它不能有效防范XSS或其他攻击,因为攻击者可以简单地注入一个关闭</pre>然后继续在其余代码中执行任何他们想要的操作,这将是被解释为文件的一部分。
安全方面,除了要在服务器端输出的数据之外,没有简单的替代方法。