From 1f887cfd95dd4f4d88c4a240599b73845be5a357 Mon Sep 17 00:00:00 2001
From: danny <12793148@qq.com>
Date: Tue, 11 Nov 2025 14:52:50 +0800
Subject: [PATCH] =?UTF-8?q?=E6=9B=B4=E6=96=B0XSS=E6=BC=8F=E6=B4=9E?=
 =?UTF-8?q?=E9=98=B2=E8=8C=83=E7=AD=96=E7=95=A5?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 第四章/01.md | 12 ++++++++++++
 1 file changed, 12 insertions(+)

diff --git a/第四章/01.md b/第四章/01.md
index f9e92df..29e04ec 100755
--- a/第四章/01.md
+++ b/第四章/01.md
@@ -6,6 +6,7 @@
 		- [1.2.3. espcms搜索注入分析](#123-espcms搜索注入分析)
 	- [1.3. 漏洞防范](#13-漏洞防范)
 - [2. XSS漏洞](#2-xss漏洞)
+	- [2.1. XSS漏洞防范](#21-xss漏洞防范)
 - [3. CSRF漏洞（跨站请求伪造）](#3-csrf漏洞跨站请求伪造)
 	- [3.1. Discuz CSRF备份拖库分析](#31-discuz-csrf备份拖库分析)
 	- [3.2. CSRF漏洞防范](#32-csrf漏洞防范)
@@ -337,6 +338,17 @@ http://localhost/74cms/admin/admin_index.php
 <span style="color:#FF6600" title="&lt;img src=1 onerror=alert(1) border=0/&gt;" class="vtip">[logo]</span>
 ```
 
+## 2.1. XSS漏洞防范
+
+- 过滤掉相关的特殊字符
+- 标签事件属性黑白名单
+- 输出编码：htmlspecialchars()函数
+- 防御DOM XSS：
+  - 避免客户端敏感操作
+  - 分析和强化客户端的JavaScript代码
+  - Anti-XSS
+  - HttpOnly
+
 # 3. CSRF漏洞（跨站请求伪造）
 
 CSRF主要是用于越权操作所有漏洞自然在有权限控制的地方，像管理后台、会员中心、论坛帖子以及交易管理等从白盒角度来说，只要读代码的时候看看几个核心文件里面有没有验证token和referer相关的代码这里的核心文件指的是被大量文件引用的基础文件。