xss攻击

解决方案与建议:
严格过滤用户所能提交的任何数据,特别是能执行javascript代码的相关字符,最好全部转化为实体引用的形式。
在HtmlEncode中要求至少转换一下字符:
& ----> &
< ----> &lt;
> ----> &gt;
“ ----> &quot;
‘ ----> &#x27

设置httpOnly以防止cookie被窃取。
可使用htmlspecialchars()来过滤。

你可能感兴趣的:(xss)