记一次XSS攻击

bug重现：加载个人资料页前总是会出现alert(1)，并且只存在于一个特定的用户。

原因:用户设置个人资料时，是这么设置的:  活泼可爱....<script>alert(1)</script>，导致加载个人页时先加载了这个alert(1)。

解决方法：

1、将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.

2、表单数据规定值的类型，例如：年龄应为只能为int、name只能为字母数字组合。。。。

4、对数据进行Html Encode 处理

5、过滤或移除特殊的Html标签， 例如: <script>, <iframe> , &lt; for <, &gt; for >, &quot for

6、过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

感谢这名用户帮忙测试！！！