类似以下这种DOM XSS,在web服务器中日志并不显示#以后的内容,如何进行防范?http://www.xxx.com/index.html#"'style=width:expression(alert(777));
锚点内容是不会请求到服务器的
这种只能在渲染页面时,避免直接取 window.location 用来生成页面内容.
2.1m questions
2.1m answers
63 comments
56.7k users