作为网站管理者应当如何防范 XSS ？

参考答案

网站管理者防范 XSS 方法

防御的总体思路：

对输入(和 URL 参数)进行过滤，对输出进行编码，白名单和黑名单结合。

1  过滤

• 根据业务需求过滤、在留言板或论坛等，则可以过滤掉特殊字符或命令字符。
• 开启浏览器的HTTPonly，使得无法通过js获取cookie。

2  转义

• 所有输出到前端的数据，都要做转义。

以上，是网络安全面试题【作为网站管理者应当如何防范 XSS ？】的参考答案。

输出，是最好的学习方法。

欢迎在评论区留下你的问题、笔记或知识点补充~

—end—