不可以,引号也可能会导致xss。 比如:<input value="<%=aaa%>" />。 若aaa的值为" onclick="alert(123),则 <input value="" onclick="alert(123)" /> 就产生xss了。 还有转义符 \ 等,通常过滤这些就够。 当然还是其它的奇技淫巧了
引用不可以,引号也可能会导致xss。 比如:<input value="<%=aaa%>" />。 若aaa的值为" onclick="alert(123),则 <input value="" onclick="alert(123)" /> 就产生xss了。 还有转义符 \ 等,通常过滤这些就够。 当然还是其它的奇技淫巧了 可以解释一下为什么转义符\能够导致xss吗?
10,606
社区成员
29,047
社区内容
加载中
试试用AI创作助手写篇文章吧