跨站脚本攻击:
1、增加全局防护功能,从客户端获取到的参数都必须通过安全校验,防范以下常见攻击字符:
‘|”|>|..|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|script|frame|;|or|-|+|,|)|etc|style|expression
注:对获取的参数进行安全检测之前应首先统一字符编码和大小写,避免攻击者通过编码和大小写混用绕过安全检查。
2、将获取到的数据进行HTML转码再存入数据库或输出。










