主要是一些网页的信息输入的地方,没有做好检测,就容易被xss
页面的输入的内容包含html标签的话,数据回显的时候就会被识别为标签了。所以xss防御很重要。
输出的地方,如果你不处理过输入,直接输出别人输入的内容就会出现xss,需要在输出的地方替换危险脚本
正则表达式过滤HTML危险脚本
如果你不需要html标签,直接将<>全部替换为实体<>