为避免XSS,我需要禁止的最少字符集是什么
||
我正在编写一个简单的网站,感谢您有责任避免将我的网站用于XSS,但是我真的不想花很多时间在详细或笨重的解决方案上。如果我只是禁止使用字符列表(无论如何人们都不需要描述自己喜欢的香肠),我能避免的最小列表是什么?
用户仍然需要能够编写纯文本段落。因此,我至少需要保留:
\' \" , . ; : - ( )
希望一些语法要求较低的用户可以准确地应用它们。我本来以<和>开始,但是搜索表明,仅凭它本身并不一定足够。
没有找到相关结果
已邀请:
3 个回复
钾涎净介
并不意味着您需要将它们保留为原义字符。将所有特殊字符转换为其HTML实体(例如,将所有
转换为
佬棠
粟痢凰副