Web安全-XSS_技术问答_慕课网

首页免费课 Web安全-XSS 问答

Web安全-XSS

全部评论问答未解决精华

慕哥6327088

<script>alert(1)</script>

0 5-1 课程总结

2018-10-21

zqbinary

s = str.replace(/&/g, "&amp;");
第一个encoding 有问题啊，老师

0 4-1 构造接口

2018-10-13

qq_苦行僧丶_0

<img src="null" onerror="alert(1)">

0 4-3 掌握XSS的防范措施（过滤、校正）

2018-09-28

qq_海洋Lisle_0

<img src="null" onerror="alert(1)">

0 4-3 掌握XSS的防范措施（过滤、校正）

2018-09-17

渴望做梦

chrome v69.0.3497.81 加上res.set('X-XSS-Protection',0); 也拒绝访问

0 2-1 区分并理解XSS攻击方式

2018-09-12

我叫一勺

<button>1</button>

0 5-1 课程总结

2018-09-01

阿諾同学

1.除了富文本编辑外应该是前端传什么数据，服务端就原数据存储
2.为防止xss攻击前端在展示的时候以文本形式展示
3.当然服务端在返回时也可以转义

0 5-1 课程总结

2018-08-30

慕粉2310004980

<img src="null" onerror="alert(1)">

0 4-3 掌握XSS的防范措施（过滤、校正）

2018-08-16

慕九州8324772

<img src="null" onerror="alert('haha')"/>

0 4-3 掌握XSS的防范措施（过滤、校正）

2018-07-30

Andste

老师的代码风格不是优雅……

0 4-1 构造接口

2018-07-23

qq_栾乐_0

<p style>123145</p>

0 5-1 课程总结

2018-07-22

慕移动8431652

老师，你好。我个人的观点是预防XSS不对用户的输入做转义，只对接口返回的数据做转义处理，使返回的脚本无法执行。

至于 style等这些标签，肯定不能存在用户配置的入口

0

2018-07-16

qq_昀_5

<img src="null" onerror="alert(1)">

0 4-3 掌握XSS的防范措施（过滤、校正）

2018-07-15

DJ_Alejandro

style、script、inframe可以不用过滤，转义为实体就可以。慕课网也是这么做的。基本上前端这块只要考虑转义和过滤属性就可。再用第三方库做的白名单就可解决掉。个人而言了解这方面的原理和实现就可以，但是操作业务时需要第三方框架。毕竟攻击方式那么多，你自己写的拦截，不知道会有什么安全漏洞。

4 3-1 XSS防范措施概述

2018-07-01

风破浪

alert('扯犊子')

0 4-3 掌握XSS的防范措施（过滤、校正）

2018-06-27

首页上一页 1 2 3 4 5 6 7 下一页尾页

该课程已下架

课程须知: 1、了解基础的html、css、js

老师告诉你能学到什么？: 1、什么是XSS 2、XSS的原理是什么 3、XSS常见的攻击手段是什么 4、图解XSS攻击 5、对XSS见招拆招，做好防御 6、做一个项目演练攻击和防御，充分体会XSS防御的措施和重要性

微信扫码，参与3人拼团

意见反馈帮助中心 APP下载

友情提示：

您好，此课程属于迁移课程，您已购买该课程，无需重复购买，感谢您对慕课网的支持！

查看已购买的课程

本次提问将花费2个积分

你的积分不足，无法发表

为什么扣积分？

确认取消

本次提问将花费2个积分

继续发表请点击 "确定"

为什么扣积分？

确认取消

举报

0/150

提交

取消