我正在阅读AngularJS中的$ sce,它在文档中说使用$ sce -
在绑定到值并呈现它之前清理不安全的HTML 在文件中
我想知道HTML代码段如何损害任何网络应用程序。
有人可以借助关于'unsafe HTML'如何工作和损害网络应用程序的方案来解释它吗?
答案 0 :(得分:2)
我不确定为什么所有下来的选票。无论如何,我所知道的最重要的事情是避免XSS(跨站点脚本)的最佳实践。三个主要规则是:
- 将不受信任的数据插入HTML元素内容之前的HTML转义
- 将不受信任的数据插入HTML公共属性之前的属性转义
- 将不受信任的数据插入JavaScript数据值之前的JavaScript转义
- (实际上是3.1)HTML在HTML上下文中转义JSON值并使用JSON.parse读取数据
我觉得我可以单独解释所有内容,但这里的文章详细解释了所有内容:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet