我的练习网站上只运行了一些处理UI动态的jQuery脚本。我还做的是将HTML从网页存储到数据库中,并在客户端“回显”该HTML。我想知道,那么,我可以只制作一个我想要运行的JavaScript的白名单吗?
答案 0 :(得分:0)
首先,你应该总是使用例如过滤器扩展来过滤你的数据(我会使用它)。这些幻灯片可以帮助您学习filter => http://derickrethans.nl/talks/filter-quebec7.pdf
的Javascript
接下来,您可以使用.text()代替.html()来阻止xss。