前端XSS相关整理

虽然会报错，但不会影响第二个script标签，注意需要闭合后面的引号或注释，防止报错 var abc = '</script><script>alert(1)//'; </script> Payload smarty.get 相关获取参数，改用后端过滤数据后再返回参数； Yii框架中相应位置配置：'escape_html' => true 在页面标签内嵌的脚本中直接使用后端返回的数据并不安全，后端可能过滤不完善（见Payload