从输入脚本中删除javascript字符(';\\&;)是否会阻止XSS?
我有以下html输入字符串从输入脚本中删除javascript字符(';\\&;)是否会阻止XSS?,javascript,html,xss,Javascript,Html,Xss,我有以下html输入字符串 <p><script>alert("hi")</script></p> <img src=x:alert('xss') height= "20" width ="40" onerror=eval(src) alt="xssdemo"</img> 警报(“hi”) 完全删除这些字符将阻止XSS弹出窗口,而不是使用反斜杠(“\”)转义字符(“”&) 基本上这里我不想使用传统的转义,因为它会破坏html格
<p><script>alert("hi")</script></p>
<img src=x:alert('xss') height= "20" width ="40" onerror=eval(src) alt="xssdemo"</img>
警报(“hi”)
<img src=nothing onerror=document.title++>
事实上,如果您事先将其转换为,您也可以这样执行一些任意代码。不。您缺少几个构造字符串的选项。@Xufox:我不明白您的意思,您的意思是,我不能创建包含以上4个字符的字符串吗?您能用一个例子解释一下吗?您可以创建不包含上述字符的字符串吗四个字符。这是我的观点。看。看。