Merge branch 'master' of https://github.com/astaxie/build-web-application-with-golang

Conflicts: 9.3.md 9.4.md
2012-10-23 14:43:47 +08:00
parent e6102d33a2 dafaf1c2b4
commit 4cfbd9bc7c
3 changed files with 25 additions and 22 deletions
--- a/9.3.md
+++ b/9.3.md
@@ -17,7 +17,7 @@ XSS目前主要的手段和目的如下：
 ##XSS的原理
 Web应用未对用户提交请求的数据做充分的检查过滤，允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“<”)，并将未经转义的恶意代码输出到第三方用户的浏览器解释执行，是导致XSS漏洞的产生原因。

-接下来以反射性XSS举例说明XSS的过程：现在有一个网站，根据参数输出用户的名称，例如访问url："http://127.0.0.1/?name=astaxie"，就会在浏览器输出如下信息：
+接下来以反射性XSS举例说明XSS的过程：现在有一个网站，根据参数输出用户的名称，例如访问url：`http://127.0.0.1/?name=astaxie`，就会在浏览器输出如下信息：

 	hello astaxie

@@ -42,6 +42,7 @@ Web应用未对用户提交请求的数据做充分的检查过滤，允许用

 	这样就可以让浏览器解析javascript代码，而不会是html输出。

+
 ##总结
 XSS漏洞是相当有危害的，在开发Web应用的时候，一定要记住过滤数据，特别是在输出到客户端之前，这是现在行之有效的防止XSS的手段。