bug重现:加载个人资料页前总是会出现alert(1),并且只存在于一个特定的用户。
原因:用户设置个人资料时,是这么设置的: 活泼可爱....<script>alert(1)</script>,导致加载个人页时先加载了这个alert(1)。
解决方法:
1、将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
2、表单数据规定值的类型,例如:年龄应为只能为int、name只能为字母数字组合。。。。
4、对数据进行Html Encode 处理
5、过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, " for
6、过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。
感谢这名用户帮忙测试!!!
网友评论