轉自:https://www.cnblogs.com/digdeep/p/4695348.html
關閉瀏覽器xss攔截:
正則:匹配任何不可見字符,包括空格、制表符、換頁符等等 使用\s表示。
(1)轉字符轉義在客戶端或者服務端做都行。
(2)反轉義
(3)domparse 去掉一些標簽以及屬性,以及完成dom配對和校驗
梳理:
(1)移除用戶上傳的DOM屬性,如onerror等
(2)移除用戶上傳的style節點,script節點,iframe節點等
(3)對用戶輸入的代碼標簽進行轉換(html encode)
(4)對url中的參數進行過濾
(5)對動態輸出到頁面的內容進行HTML編碼
(6)服務端對敏感的Cookie設置 httpOnly屬性,使js腳本不能讀取到cookie
(7)CSP 即是 Content Security Policy