工作、生活的碎碎念
Geek Repo:Geek Repo
Github PK Tool:Github PK Tool
sophister opened this issue 7 years ago · comments
XSS 仔细 咀嚼 这两篇文章就行了:
XSS
关键点:
不同context下,浏览器对字符的解码顺序
解决 XSS,更完美的方式,是配合 Content Security Policy -- CSP,直接设置网站允许加载的各种资源的域名 白名单 ,参见这些:
Content Security Policy -- CSP
阻止XSS检查项