测试给我提了个问题,他将下面这段代码从后台发布到前台网页上,但是每次初始化的时候一定会弹一个alert
'"><img src=1 onerror=alert(1)>#
我就想问一下,如何在前台使初始化加载页面,或者就不让这个alert执行
###喔.存储型 XSS
后台输入的地方,需要先转义后在存入数据库... 不清楚你们的后端语言是啥,,可以查找下对应语言的 specialChar 转义 方法..
另外,搜索下 XSS ,好好看下.
###在数据库里删,而且后续需要给提交的信息转义
###你要做的是禁止这段代码原样输出到网页上
###1.不要用 innerHTML 用 innerText
2.每个 < 或者 > 中间添加 \
https://www.baidu.com/s?ie=UTF-8&wd=XSS
###这段代码的意思是如果src中的头像不存在就会加载onerror属性中的图片路径,为什么在oneerror里做弹出操作?这不是给你找茬吗
###服务器上配置 内容安全策略 HTTP CSP, 指定可执行js的域名,且禁止掉本地js运行