测试给我提了个问题，他将下面这段代码从后台发布到前台网页上，但是每次初始化的时候一定会弹一个alert

'"><img src=1 onerror=alert(1)>#

我就想问一下，如何在前台使初始化加载页面，或者就不让这个alert执行

喔.存储型 XSS

后台输入的地方,需要先转义后在存入数据库... 不清楚你们的后端语言是啥,,可以查找下对应语言的 specialChar 转义 方法..

另外,搜索下 XSS ,好好看下.

在数据库里删，而且后续需要给提交的信息转义

你要做的是禁止这段代码原样输出到网页上

1.不要用 innerHTML 用 innerText
2.每个 < 或者 > 中间添加 \

https://www.baidu.com/s?ie=UTF-8&wd=XSS

这段代码的意思是如果src中的头像不存在就会加载onerror属性中的图片路径，为什么在oneerror里做弹出操作？这不是给你找茬吗

服务器上配置 内容安全策略 HTTP CSP, 指定可执行js的域名，且禁止掉本地js运行