请问富文本编辑器提交到后端怎么防止XSS
平时我们使用的富文本编辑器,本质上是是把输入转化成html,如果我们直接提交到后端会造成XSS
请问后端一般是怎么防止xss的,比如现在的提问界面
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
平时我们使用的富文本编辑器,本质上是是把输入转化成html,如果我们直接提交到后端会造成XSS
请问后端一般是怎么防止xss的,比如现在的提问界面
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(9)
<img/src=x onerror=alert()><img/src=x onerror=alert()><img/src=x onerror=alert()><img/src=x onerror=alert()>
<img/src=x onerror=alert()><img/src=x onerror=alert()><img/src=x onerror=alert()><img/src=x onerror=alert()>
<img/src=x onerror=alert()>
<img/src=x onerror=alert()>
<script>
alert('dddd')</script>
alert('dddd')
可能发生xss的地方,如: img[src], script, a[href], [onclick,onmouse**] 等等。 通常我们通过正则处理掉绝大部分标签属性,保留的属性(src,class,href,style)等根据需求例如 src 判断正则是否满足 指定域名之类的, 不满足则视为恶意输入,移除。
xss 是用户输入再次展现在客户端时候发生的, 你需要在这之前处理。
如果展现的地方比较确定,可以考虑在客户端处理。
HTML转码/解码 自己查一下JS的方法