>
摘自:瓜园
在开发hatrix的期间经常会拿很多门户网站测试,绝大多数的XSS发生在json的输出上,
希望各位同学在做xss方案的时候不要疏漏了json的直接输出,简单有效的方案是定义mime的输出类型为json,而非text/html
相关文章