Ajax Response XSS prevents

本贴最后更新于 1492 天前,其中的信息可能已经物是人非

在使用 AJAX 获取数据,将数据展示到前台,但是这些数据里面可能包含 <script>alert('xxx')</script> 这样字段,如何预防这种 XSS 注入呢?

目前我想到的几种预防方式:

  1. 在拼接 HTML 填写字段的时候不要使用 + 连接,使用类似·$('#id').text('content')·拼接内容;
  2. 统一在 AJAX 返回方法里面处理,escape 返回的 data 所有的 string,这个比较暴力了。。但是可以设置 options,是否暴力 escape;
  3. 在用户录入的时候进行过滤掉,这个觉的不怎么好。

各位有没有其他的什么方法?

赞助商 我要投放

6 回帖
请输入回帖内容 ...
  • yangyujiao

    我想知道 你们都做的什么呀 怎么都怕这个怕那个的,,,这个加密那个加密的。。。

    为毛我们做的从来么有这些··· 是潜意识就不怕人家劫。。。

  • Angonger

    @yangyujiao 不是怕人家劫 是被劫了作为做技术的感觉没面子

  • yangyujiao

    @Angonger 有人劫还好呢,说明还有人关注我们。。。

  • 88250

    在请求返回的地方对响应内容做 XSS 转义、过滤。

  • noah

    @88250 你说在 server 端对返回的数据进行转义?

  • 88250

    @noah 是的

请输入回帖内容 ...