我正在根据用户查询生成搜索输出并生成像这样的搜索结果页
location.href = root_url + "SearchCenter/Pages/internal.aspx" + "?q=" + st
我正在研究防范XSS攻击。
我正在使用encodeURI来防止攻击
encodeURI("http://Server.com/SearchCenter/Pages/internal.aspx?q=<script>alert('dd')</script>)"
输出
http://server.com/SearchCenter/Pages/internal.aspx?q=%3Cscript%3Ealert('dd')%3C/script%3E)
现在,如果不是标记,他们会输入JavaScript:alert(&#39; dd&#39;),其中encodeURI无法防范。
所以我的问题是,我可以使用任何JS库或函数来防止URL XSS攻击。
答案 0 :(得分:2)
你应该解决这个服务器端。永远不要相信客户端,因此无论它发送什么,都应在服务器上进行审查,然后再在HTML中呈现。因此接受他们发送的任何内容并使用服务器组件来确保输出的内容是安全的。