README
Bughunter
draw
计算机科学
网络安全

Powered by GitBook

On this page

处理用户输入
编码：
处理HTML

网络安全

02.前端漏洞

Sanitization

Previous2.Javascript伪协议 NextSpring SpEL表达式注入

Last updated 1 year ago

净化：删掉铭感字符

输入： 23script1028
净化后：231028

处理用户输入

编码：

前端：

使用innerText / textContent，不适用innerHTML将输入放到页面上
原本render 的所有东西预设就会是纯文字，有需要render HTML 再用特殊的方法就好

后端：

对PHP 来说，可以使用htmlspecialchars这个函式，在文件中的表格有显示它会编码哪些字元：
模板引擎（template engine）输出
1. Laravel 使用的Blade 中，{{ $text }}是编码过的，{!! $text !!}则是没编码的
2. Python 的Jinja，{{ text }}是编码过的，而{{ text | safe }}代表这段内容很安全，可以直接输出，因此是原始格式。

处理HTML