我有一个简单的项目,但让我很头疼,因为客户端编程不是我的专长。基本上我有一个登录页面,客户希望我防止 XSS 攻击不允许用户在用户名/密码字段上提交恶意代码。我会很容易地在服务器端完成,但他们不想给我们访问权限。
有人给我提示我该怎么做吗?即使我知道 javascript/HTML 的基础知识,我的经验也几乎为零。
我知道有几个关于这个话题的问题,但老实说,我对所有信息都一头雾水
最好的问候
最佳答案
实际上,您无法在客户端进行任何可靠的 XSS 预防。攻击者只需禁用 JavaScript,您所有复杂的代码都不存在。任何客户端验证都只是为了方便用户,仅此而已。
更新:我上面写的关于二阶(也就是存储的)XSS 是正确的。 一阶 XSS 攻击(当攻击者创建伪造的 URL 时)可以使用 JavaScript 来缓解。
关于javascript - 在客户端防止 XSS(纯 Javascript),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28111289/