我经常想知道 - 为什么在清理HTML输入时使用白名单而不是黑名单?
有多少偷偷摸摸的HTML技巧可以打开XSS漏洞?显然不允许脚本标签和框架,并且HTML元素中的字段将使用白名单,但为什么不允许大部分内容?
html xss whitelist
html ×1
whitelist ×1
xss ×1