Aur南风

摘要： XSS 攻击有两大要素： 1.攻击者提交恶意代码。 2.浏览器执行恶意代码。 针对第一个要素：我们是否能够在用户输入的过程，过滤掉用户输入的恶意代码呢？ 输入过滤 在用户提交时，由前端过滤输入，然后提交到后端。这样做是否可行呢？ 答案是不可行。一旦攻击者绕过前端过滤，直接构造请求，就可以提交恶意代码 阅读全文