是否可以在以下位置执行XSS:
<script> var name = "USER_INPUT";</script>
其中USER_INPUT由用户指定。我有一个用于USER_INPUT的过滤器,该过滤器不接受我不在html中使用变量名,而仅在脚本内部进行处理。
最佳答案
我认为,检查用于清理所使用编程语言的用户输入的最佳做法很重要。
例如,对于php,您可以检查以下问题:What's the best method for sanitizing user input with PHP?
其中USER_INPUT由用户指定。我有一个用于USER_INPUT的过滤器,该过滤器不接受我不在html中使用变量名,而仅在脚本内部进行处理。