我想防止跨站点脚本,为了这样做我清理了所有输入数据,但是现在当我检查页面中的简单 html 文本并简单地在检查元素中编辑它并在文本中注入 XXS 时,令人惊讶的是它有效并且在警告框中显示 cookie id。有什么解决方案可以防止这个漏洞吗?
选择文本(我爱我的国家)+检查元素+编辑文本+在文本中插入脚本。
我爱我的
<img src="" onerror="alert(document.cookie)">
结果 PHPSESSID= hj7.........