web后端针对xss攻击,可以把'<' '>'转换为' <' 和 '>'么?这么做是否安全?请教了
xss将<>转为<>后输出基本不会存在了,xss主要是直接输出了客户端的输出的内容,包含脚本之类的就会直接运行了,替换后就是文本显示,不是html,当然不会存在xss 但是要求web编辑那种不能粗暴的执行替换了,要自己用正则写代码过滤掉script,iframe之类的标签和onxxx之类的事件