XSS的防范
最近XSS跨站脚本攻击很热门,我也去看了一下。静态页面完全不受影响,没什么好担心的。动态页面的,就是通过在你的页面上贴恶意代码来完成的。但是<,>和&本来就应该被转义的。不转义本身就是不valid的。我一直非常关注页面的valid的问题,为 http://validator.w3c.org 贡献了不少流量。看来这坚持valid还有防止XSS的功效。
最近XSS跨站脚本攻击很热门,我也去看了一下。静态页面完全不受影响,没什么好担心的。动态页面的,就是通过在你的页面上贴恶意代码来完成的。但是<,>和&本来就应该被转义的。不转义本身就是不valid的。我一直非常关注页面的valid的问题,为 http://validator.w3c.org 贡献了不少流量。看来这坚持valid还有防止XSS的功效。
Leave a Reply