下列关于开发阶段考虑XSS攻击,说法错误的是?()

9 查阅
下列关于开发阶段考虑XSS攻击,说法错误的是?()

A-在不允许html执行的语境中,采用编码是相对安全的解决方法。但是如果输入被用于构造javascript语句,html编码则无法解决问题

B-输出是XSS最终生效的地方,因此在此处理是最全面的。但输出往往需要开发者逐个处理,因此非常繁琐,一旦开发者疏忽,就容易造成漏洞

C-当您需要允许少数的html标签子集时,只能采用过滤的方法。但是由于HTML的复杂性以及浏览器的松散解释特性,攻击者常常可以找到绕过过滤的方法

D-统一输入处理能完全考虑到输出语境的不同,例如有时会输出为文本文件,经过html编码的语句在文本文件中不会出现乱码;

参考答案:

D

数据库认证