XSS 跨網站指令碼

說明

跨網站指令碼（Cross-site scripting，通常簡稱為XSS或跨站指令碼或跨站指令碼攻擊）

如何避免 XSS

在使用者傳過的來字串中

• 去除任何 <script> 標籤
• 移除 onclick, onerror, onmouseenter ... 等等事件處理器
• 使用 HTML 黑名單或白名單的方式，留下可執行的 HTML 程式碼
• 避免連結出現 data:text/html;base64 的資料

參考資料

• 跨網站指令碼
• HTML DOM Events
• 怎样消除 Markdown 的 XSS 漏洞?
• Cookies are bad for you: Improving web application security