XSS（href输出，js输出）防范措施

防御总的原则：根据实际情况对输入做过滤，对输出做转义

---

href输出漏洞：输出出现在a标签的href属性里面,可以使用javascript协议来执行js

后端：

$message=htmlspecialchars($_GET['message'],ENT_QUOTES);
$html.="

可以看到，虽然对htmlspecialchars（）函数做了额外的处理，但是，它把输出放在了a标签的href属性里，所以我们可以用下面的payload让这种网页执行我们的代码：

javascript:alert("hello!!!")

结果如图：

从结果中可以看出，上面这种漏洞中我们可以轻易地利用javascript协议来执行任何我们构造的js代码。

防御：

1.a标签的href属性中一般放的是URL（链接），所以我们可以规定， 这里的输入必须以http或者https开头，否则不予以输入。
2.再对这里进行htmlspecialchars（,ENT_QUOTES）函数处理。

---

js输出漏洞：

输出点是在javaScript，通过用户的输入动态的生成JavaScript代码
javaScript里面是不会对tag和字符实体进行解释的,所以正常的输入得不到正常的输出，这不是我们需要的，所以，如果需要进行处理，就进行JavaScript转义处理，也就是用\ 对特殊字符进行处理。