标签:字符 javascrip 标记 期望 htm shu 代码 客户 for
原则: 不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中
1、将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
2、只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
3、对数据进行Html Encode 处理
4、过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, " for
5、过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。
CSRF:http://www.jianshu.com/p/7f33f9c7997b
标签:字符 javascrip 标记 期望 htm shu 代码 客户 for
原文地址:http://www.cnblogs.com/xiaoweigogo/p/7778480.html
