是否可以对以下内容执行 XSS:
<script> var name = "USER_INPUT";</script>
其中 USER_INPUT 由用户指定。我有一个 USER_INPUT 过滤器,它不接受 < 和 "字符,但接受 "。 我不在 html 中使用变量名称,仅将其用于脚本内部的处理。
最佳答案
我认为检查针对您所使用的编程语言清理用户输入的最佳实践非常重要。
例如,对于 php,您可以检查这个问题:What's the best method for sanitizing user input with PHP?
关于javascript - XSS - JavaScript 字符串,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49933652/