Sanitization

净化 : 删掉 铭感字符

  • 输入 : 23script1028

  • 净化后:231028

处理用户输入

编码:

  • 前端:

  1. 使用innerText / textContent,不适用innerHTML将输入放到页面上

  2. 原本render 的所有东西预设就会是纯文字,有需要render HTML 再用特殊的方法就好

  • 后端:

  2. 模板引擎(template engine)输出

    1. Laravel 使用的Blade 中,{{ $text }}是编码过的,{!! $text !!}则是没编码的

    2. Python 的Jinja,{{ text }}是编码过的,而{{ text | safe }}代表这段内容很安全,可以直接输出,因此是原始格式。

处理HTML

Previous2.Javascript伪协议NextSpring SpEL表达式注入

Last updated