0
我生成基於用戶查詢的搜索輸出,併產生這樣encodeURI函數在JavaScript
location.href = root_url + "SearchCenter/Pages/internal.aspx" + "?q=" + st
我期待到防範XSS攻擊的搜索結果頁面。
我使用的是encodeURI來防止攻擊與
encodeURI("http://Server.com/SearchCenter/Pages/internal.aspx?q=<script>alert('dd')</script>)"
其輸出
http://server.com/SearchCenter/Pages/internal.aspx?q=%3Cscript%3Ealert('dd')%3C/script%3E)
現在,如果不是標籤他們進入JavaScript的:警報( 'DD'),這是encodeURI不會防範。
所以我的問題是,有什麼JS庫或函數,我可以用來保護對URL XSS攻擊。
如果用戶不想要它,客戶端上的任何內容都不受保護。服務器端需要實施保護措施。 – Pluto