segmentfault是怎么处理xss的？

Question

<p>例如：
<script>alert('xss')</script></p>

<pre><code><script>alert('xss')</script>
</code></pre>

<p><img src="<script>alert('xss')</script>"/></p>

<pre><code><img src="<script>alert('xss')</script>"/>
</code></pre>

bf · Answer

徐哈哈 · Answer

<p></p>
<a>TEST.</a><script>alert('xss');</script>

老雷 · Answer

你需要这个屌屌的XSS过滤模块：http://jsxss.com/zh/index.html
在线演示：http://jsxss.com/zh/try.html

简单使用方法：

在页面中引入文件http://rawgit.com/leizongmin/js-xss/master/dist/xss.js

filterXSS('任何HTML代码'); // => 将返回经过滤安全无害的HTML代码

另外这个XSS过滤模块支持白名单过滤配置，你可以定制适合自己场景的过滤规则。

叶树泽 · Answer

youclavier · Answer

<p><script>alert("xss")></script></p>

杨军军 · Answer

警告: 你敢编辑我，你就会被 XSS

tiomg_org · Answer

Segmentfault不知道，这个站长来回答，也给我们参考下。
前端不论怎么做XSS，后台还是要做。防XSS主要是细心，也是被XSS折腾一段时间，直接使用开源项目吧。例如：Java开源项目 OWASP Java HTML Sanitizer ，可以快速编写配置过滤策略对用户提交的富文本进行过滤，防御XSS。

相关链接比较多，你参考：如何过滤不可信输入防御网站被XSS?，在这上面找吧。

unequaled · Answer

你看他们处理了吗（手动狗头）

131091615950564_.pic.jpg
131121615950579_.pic.jpg

segmentfault是怎么处理xss的？

8 Answers

警告: 你敢编辑我，你就会被 XSS

你看他们处理了吗（手动狗头）