是否有javascript库可用于过滤XSS攻击的字符串?
是否有类似HTMLPurifier的Javascript库,可以从字符串中删除XSS代码?一般来说,当Javascript代码运行时,保护自己免受XSS攻击为时已晚。您需要在服务器而不是客户端进行保护。project应该可以帮助您。严格来说,这并不是真的:可能有一种情况,ajax应用程序接受来自textarea的输入并将内容注入DOM,在这种情况下,你肯定想把它消毒。这是一个很好的经验法则,让服务器严格分析每个用户输入,以确保在深层次上防止攻击。@ Jed,那里的攻击向量是什么,其他用户攻击自己。我不认为这有什么安全问题。好吧,我想防止意外的脚本/标记注入可能是一件好事。@Jed,这可以通过添加文本节点而不是操纵innerHTML来避免是否有javascript库可用于过滤XSS攻击的字符串?,javascript,xss,Javascript,Xss,是否有类似HTMLPurifier的Javascript库,可以从字符串中删除XSS代码?一般来说,当Javascript代码运行时,保护自己免受XSS攻击为时已晚。您需要在服务器而不是客户端进行保护。project应该可以帮助您。严格来说,这并不是真的:可能有一种情况,ajax应用程序接受来自textarea的输入并将内容注入DOM,在这种情况下,你肯定想把它消毒。这是一个很好的经验法则,让服务器严格分析每个用户输入,以确保在深层次上防止攻击。@ Jed,那里的攻击向量是什么,其他用户攻击自己