0
好吧,所以我一直在努力修复我的网站上的xss,所有的时间都失败了。 有串称为“名称”中whitch人们改变他们的名字像 <script>alert("HahS");</script>
我已经尝试过XSS在socket.io/node.js聊天?
name = name.replace(/(<|>)/g, '');
if(name.indexOf('<') !== -1){
return false;
}
所有我能够做到的,是对谁发出的XSS用户修复XSS,也是所有其他人登录它仍然弹出。
我有一个很难加入encodeURIComponent方法()无处不在我使用的名称,例如有一个 “bet.name” 如果我将它改为“bet.encodeURIComponent(name)”,该网站甚至根本不工作。 – Petras
如果该值存储在'bet.name'中,则需要使用'encodeURIComponent(bet.name)'。那样有用吗? –
我猜它可以工作,但它非常糟糕,即使是空格“%20”也出现了。有什么办法可以让它看起来更好看(只有删除<,>等)? – Petras