转自:https://www.cnblogs.com/digdeep/p/4695348.html
关闭浏览器xss拦截:
正则:匹配任何不可见字符,包括空格、制表符、换页符等等 使用\s表示。
(1)转字符转义在客户端或者服务端做都行。
(2)反转义
(3)domparse 去掉一些标签以及属性,以及完成dom配对和校验
梳理:
(1)移除用户上传的DOM属性,如onerror等
(2)移除用户上传的style节点,script节点,iframe节点等
(3)对用户输入的代码标签进行转换(html encode)
(4)对url中的参数进行过滤
(5)对动态输出到页面的内容进行HTML编码
(6)服务端对敏感的Cookie设置 httpOnly属性,使js脚本不能读取到cookie
(7)CSP 即是 Content Security Policy