查了一下,我的理解如下:
所谓的xss,
攻击方式是,a画面跳转到b画面的时候,文本框(或别的什么)的传值里有攻击代码(js),然后在b画面进行html解析的时候执行。
转义作为对应手段,转义的timing是在b画面html解析前。所以,所有可能接到前画面传值的tag都要转义。
如果 <input type="hidden" value="1"/>这样的固定值是不需要的。
以上理解,如有不足或偏差请指正多谢。
【 在 dajun 的大作中提到: 】
: <input type="text" value="XSS"/>
: <input type="hidden" value="XSS"/>
: XSS根本就不管是text还是hidden, 就算是<input type="求你别xss啊" value="XSS"/>也还是一样的啊
--
FROM 223.69.70.*