Question

请建议我通过网址停止跨站点脚本（XSS）的最佳方法。

例如，见下面的URL以及此攻击的影响。

https://example.com/questions/ask.aspx?hf=15315%27%3balert("XSS")%2f%2f150

之后在浏览器上发生了警报。

enter image description here

Answer 1

验证http输入请求参数，然后将其用作参数或在返回页面中呈现。您也可以将参数的值列入白名单。

Answer 2

对于asp.net，您可以使用System.Web.Security.AntiXssEncoder将文本包装在HtmlEncode中。这可以防止恶意行为者将脚本保存到将在浏览器中执行的数据库。

JSON.parse(JSON.stringify(Object))