我刚刚在2分钟内收到了20份以我网站上托管形式提交的文件.唯一填写的字段是alert(‘TK00000025’),每次提交都会将此数字增加到alert(‘TK00000036’).该字段在表格之间切换,因此一个表格在名称部分具有此名称,而下一个表格在电子邮件区域具有它.此后,有四个空白条目.

这是什么,为什么会发生？我应该采取什么预防措施吗？

解决方法:

一般来说：

1)切勿在允许的位置插入非受信任的数据

2)将不受信任的数据插入HTML元素内容之前的HTML转义

3)将不受信任的数据插入HTML通用属性之前的属性转义

4)将不受信任的数据插入JavaScript数据值之前的JavaScript转义

5)HTML在HTML上下文中转义JSON值并使用JSON.parse读取数据

> JSON实体编码
> HTML实体编码

6)在将不受信任的数据插入HTML样式属性值之前,先进行CSS转义并严格验证

7)将不受信任的数据插入HTML URL参数值之前的URL转义

8)使用专为工作设计的库清理HTML标记

9)防止基于DOM的XSS

如果您进行休假,我相信您现在是非常安全的.

参考：Prevention Cheat Sheet