在任何被掃瞄出來有XSS風險的物件,代入類似下列語法,把惡意的字串去除掉:
這邊的情況是a.text會接收到網頁上來自使用者的輸入的任何文字,怕a.text裡面會有惡意的javascript
a.text = a.text.replace(/&/g, '&').replace(/</g, '<').replace(/>/g, '>').replace(/\"/g, '"').replace(/\'/g, ''').replace(/\//g, '/');
From: https://dotblogs.com.tw/kevinya/2018/12/19/103831
沒有留言:
張貼留言