xss防御措施：1、不要在允許位置插入不可信數(shù)據(jù)；2、在向HTML元素內(nèi)容插入不可信數(shù)據(jù)前對HTML解碼；3、在向HTML常見屬性插入不可信數(shù)據(jù)前進(jìn)行屬性解碼；4、在向HTML URL屬性插入不可信數(shù)據(jù)前進(jìn)行URL解碼。

XSS指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。

xss防御措施

下列規(guī)則旨在防止所有發(fā)生在應(yīng)用程序的XSS攻擊，雖然這些規(guī)則不允許任意向HTML文檔放入不可信數(shù)據(jù)，不過基本上也涵蓋了絕大多數(shù)常見的情況。

1、不要在允許位置插入不可信數(shù)據(jù)。

2、在向HTML元素內(nèi)容插入不可信數(shù)據(jù)前對HTML解碼。

3、在向HTML常見屬性插入不可信數(shù)據(jù)前進(jìn)行屬性解碼。

4、在向HTML JavaScript Data Values插入不可信數(shù)據(jù)前，進(jìn)行JavaScript解碼。

5、在向HTML 樣式屬性值插入不可信數(shù)據(jù)前，進(jìn)行CSS解碼。

6、在向HTML URL屬性插入不可信數(shù)據(jù)前，進(jìn)行URL解碼。