当渲染dom树的过程中发生了不在预期内执行js代码时,就发生了xss攻击。
比如说:用户在f12的控制栏或者表单的输入框中输入document.cookie获取cookie信息
如何防范呢?
1.在表单提交前过滤<script>,<a>这样的标签。 (例如百度编辑器中将标签转义 ‘<‘: ‘<‘ ‘>‘: ‘>‘ ) 后台在接收表单数据前也做一遍过滤。
2.如果是vue、react、node项目
1. 安装: npm install xss --save
使用 var xss = require(‘xss‘); console.log(xss(‘<a href="#" onclick="alert(document.cookie)">click</a>‘));
2. 引入文件:https://raw.github.com/leizongmin/js-xss/master/dist/xss.js
使用: console.log(filterXSS(‘<a href="#" onclick="alert(document.cookie)"></a>‘));
原文:https://www.cnblogs.com/jiorence/p/14715588.html