XSS防禦

1、頁面端防禦

頁面端的XSS防禦的方法，主要是針對輸入和輸出。

一般是在輸入的時候進行校驗，輸出的時候進行轉義。

輸入端的校驗：

所有能輸入的數據，都要列為不可信的數據。在邏輯處理或者存儲之前，都要進行校驗。

校驗的規則儘可能採用白名單而不是黑名單，比如只允許哪些字符，其他字符則一律不通過。

輸出端的轉義：

主要是對準備輸出到html的字符進行轉義。特別是用了v-html的地方。

這裏的經典做法是，對特定字符進行html編碼轉義。

具體可參考下面的代碼：

詳情請查看： XSS和CSRF防禦的經典策略