为什么 XSS 的防御，很多人要用前后端 转码、过滤、报错 的方法，直接在前端当做文本显示不香吗？

@hshpy 改下，DOM 型 XSS 是前端的事但不是过滤，过滤反射型存储型要后端做。

@hshpy （不应该存 html，可以存另一个结构化的表示，然后前端再重新处理回 dom 结构，全程不需要 innerHTML

我没理解你的意思？


>都看不见 V2EX 的输入框就是输入啥，显示啥，毛的转码过滤报错


回复文本框输入的 <html> ，实际后端输出时已经转码为了 &lt;html&gt; ，你可以搜索下本贴的源码，就能看到源码里面并没有 <html>，而是被转码为了 &lt;html&gt; 。


json 也是如此， " 会被转码为 \" 。你可以搜索下你提供的那个 留言接口里面，可以找到类似下面的字符串。

<a target=\"_blank\" href=\"https

@gamexg #23 的确过滤、报错是个大坑，除了敏感词，不然不建议搞出来过滤、报错。

@codehz 用户返回数据都是后端拼接的 html 页面，只能由后端清理数据。攻击者可以绕过前端清理数据的 js 。后端获取用户 IP，攻击者在请求头注入，还是得由后端处理。

@hshpy （所以问题就在这里了，按拼接 html 的模式就没法解决了，要解决就只能通过让后端输出结构化数据，前端做转换才可以（

@codehz 前端还要多请求几次数据，只要页面有 js 操作就有可能出现 DOM 型 XSS.
纯静态它不香吗。。。

如果只是 xss，那纯前端确实可以解决。。但是能出现 xss 的地方一般都需要防注入，所以实际操作中都是后台顺便处理了。

而且前面答主说了，xss 不止有 dom 型，还有反射型和存储型，这些不表现在 dom 结构内，这些必须要后台处理的。

对纯文本, 自然是 innerText

对富文本, 可以用 bbcode 或者 markdown, 关闭 html 标签支持

@chinvo markdown ？？前端的东西最终还得是 HTML

@dengjscn #31 前端渲染啊，禁用渲染器的 HTML 支持

当然这个的可靠性是建立在 markd.js 之类的前端渲染器能正确过滤 HTML 标签的前提下

不是不行，也可以。

@hshpy google 的做法是渲染到 script 块里，也不需要额外请求

http only

如果是富文本数据，可以在输出的时候做一次 HTML 白名单过滤。

- 提供开箱即用的默认白名单（ Go ）： https://github.com/SYM01/htmlsanitizer
- 一个广泛使用的富文本过滤器（ Go ）： https://github.com/microcosm-cc/bluemonday