查看其它 3 个回答zhangjian85的回答
以下几点供参考:
1, 在HTML/XML中显示“用户可控数据”前,应该进行html escape转义。
2,在javascript内容中输出的“用户可控数据”,需要做javascript escape转义。
3,对输出到富文本中的“用户可控数据”,做富文本安全过滤(允许用户输出HTML的情况)。
4,输出在url中的数据,做url安全输出。
5,在给用户设置认证COOKIE时,加入HTTPONLY
6,在style内容中输出的“用户可控数据”,需要做CSS escape转义。