XSS深入理解

Question

sophister opened this issue 7 years ago · comments

XSS 仔细咀嚼这两篇文章就行了：

关键点：

不同context下，浏览器对字符的解码顺序

Jesse · Answer 1 · Thu Feb 22 2018 16:52:04 GMT+0800 (China Standard Time)

解决 XSS，更完美的方式，是配合 Content Security Policy -- CSP，直接设置网站允许加载的各种资源的域名 白名单 ，参见这些：

Jesse · Answer 2 · Fri Oct 18 2019 15:59:31 GMT+0800 (China Standard Time)