JSP 应用程序的类型 0（基于 DOM）XSS 预防

Question

与依赖动态网页的标准 XSS 攻击不同，基于 DOM 的 XSS 攻击不需要向服务器发送任何恶意代码，因此也可以使用静态 HTML 页面。我的谦虚问题是，开发人员是否可以安全地对页面进行编码，以防止此类攻击。使用什么技术？我的信念是，无论页面是静态还是动态，请求仍然必须从客户端传递到服务器，因此这让我思考并想知道服务器端检查是否仍然可以检测到这种攻击？

Answer 1

为了让恶意代码进入您的页面，您必须将未转义的、攻击者提供的文本放入页面上。无论您是使用 PHP 在服务器端执行此操作，还是使用 Javascript 在客户端执行此操作，都没有关系 - 在将收到的任何输入转换为输出之前，您必须对其进行转义。

对 javascript 使用与对服务器端代码相同的规则。