以下几点供参考:
1, 在HTML/XML中显示“用户可控数据”前,应该进行html escape转义。
2,在javascript内容中输出的“用户可控数据”,需要做javascript escape转义。
3,对输出到富文本中的“用户可控数据”,做富文本安全过滤(允许用户输出HTML的情况)。
4,输出在url中的数据,做url安全输出。
5,在给用户设置认证COOKIE时,加入HTTPONLY
6,在style内容中输出的“用户可控数据”,需要做CSS escape转义。
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30